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Editorial 


Vor fünf Jahren wurde die Datenschutz-Grundverordnung vollständig anwend- 
bar. Bereits am ersten Tag reichte die von Max Schrems gegründete Organisation 
noyb (none of your business) mehrere Beschwerden bezüglich der Datenverarbei- 
tung durch die Dienste der inzwischen in Meta umbenannten Firma ein: Facebook, 
WhatsApp, Instagram. Die Bearbeitung dieser und anderer Beschwerden ist immer 
noch nicht vollständig abgeschlossen. Im Interview schildert Max Schrems die Er- 
fahrungen mit der Durchsetzung des Datenschutzrechts durch die irische und ande- 
re Datenschutzaufsichtsbehörden. Auch die Europäische Kommission hat die Defi- 
zite erkannt und bereitet jetzt einen Vorschlag zur Verbesserung der Verfahren vor. 
Max Schrems hat allerdings Zweifel, ob der Ansatz der Kommission hinreichend ist. 


Die bereits in der letzten DANA-Ausgabe betrachteten Gesetzgebungsverfahren im 
Rahmen der EU-Digitalstrategie gehen weiter. DSA (Gesetz über digitale Dienste), 
DMA (Gesetz über digitale Märkte) und DGA (Daten-Governance-Rechtsakt) sind 
beschlossen und jetzt auch vollständig anwendbar. Die Gesetzgebungsverfahren zu 
DA (Data Act), EHDS (European Health Data Space) und AIA (AI Act) gehen voran, 
sodass eine Verabschiedung vor der nächsten Wahl des Europäischen Parlaments in 
einem Jahr noch möglich erscheint. Axel Freiherr von dem Bussche und Alexander 
Schmalenberger analysieren das Zusammenwirken dieser Rechtsakte mit der Daten- 
schutz-Grundverordnung. Diein allen Regelungen enthaltene deklaratorische Klau- 
sel, dass die DSGVO „unberührt“ bleibe, kann in dieser Simplizität nicht überzeugen. 


Der Europäische Raum für Gesundheitsdaten (EGDR, EHDS) soll unter anderem auch 
die Forschung mit solchen Daten fördern. Thilo Weichert betrachtet die Vorhaben 
zur verstärkten Nutzung von personenbezogenen Daten für Forschungszwecke in 
größerer Breite und schließt einen Paradigmenwechsel zu mehr Nutzung solcher 
Daten grundsätzlich nicht aus, findet allerdings erhebliche Lücken beim notwendi- 
gen Grundrechtsschutz. 


Während der europäische Gesetzgeber mit den neuen Digitalgesetzen vorangeht, 
scheint dies nicht für die ePrivacy-Verordnung zu gelten. Die derzeitige schwedi- 
sche Ratspräsidentschaft zeigt keinerlei Interesse daran diese Verhandlungen vor- 
anzutreiben. Achim Klabunde schreibt über Warnungen der Berichterstatterin des 
EP, Birgit Sippel (SPD), dass durch ein Scheitern des Gesetzgebungsverfahrens die 
Chance auf einen EU-weit einheitlichen Schutz des Kommunikationsgeheimnisses 
vertan werden könnte. 


Auf einen kurzen Rückblick auf die BigBrotherAwards 2023 von Heinz Alenfelder 
und einen ebenfalls kurzen Artikel zum Einsatz der Polizeisoftware hessenDATA von 
Sakyi Mannah folgen wie in jeder DANA-Ausgabe Pressemitteilungen, offene Brie- 
fe, die Datenschutznachrichten, Meldungen zur Rechtsprechung und Buchbespre- 
chungen. 


Wir wünschen Ihnen und Euch eine angenehme und anregende Lektüre. 
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„Bei der Durchsetzung des Grundrechts auf 
Datenschutz steht man zum großen Teil ein- 
fach vor verschlossenen Türen.” 


(Das Interview mit Max Schrems führte DVD-Vorstand Achim Klabunde.) 


Max Schrems ist Gründer und Vorsit- 
zender des Vereins noyb'! (none of your 
business), der sich für die juristische und 
politische Durchsetzung der Rechte von 
Betroffenen nach der DSGVO einsetzt. 
Max Schrems wurde international als Klä- 
ger bekannt in Verfahren, die letztlich zur 
Annullierung der Entscheidungen der Eu- 
ropäischen Kommission durch den EuGH 
führten, mit denen die Kommission die 
US-Verfahren Safe Harbor bzw. Privacy 
Shield als angemessen eingestuft hatte. 


Gerade ist es fünf Jahre her, dass 
die DSGVO voll anwendbar wurde. 
noyb hatsich ja von Anfang an mit der 
Durchsetzung von Datenschutzrech- 
ten befasst. Wie lange gibt es noyb 
eigentlich jetzt? 


Uns gibt es operational auch seit fünf 
Jahren, weil wir praktisch richtig mit 
der Anwendbarkeit der DSGVO angefan- 
gen haben. 


Wie wichtig war eigentlich die iri- 
sche Datenschutzbehörde für die Ent- 
stehung von noyb? 


Die Erfahrungen mit der irischen Da- 
tenschutzbehörde vor der DSGVO ha- 
ben schon eine Rolle gespielt. Das war 
aber nicht der wesentliche Faktor. Mit 
der Verabschiedung der DSGVO war es 
schon so, dass wir uns dachten „Also, 
schauen wir mal, ob die Datenschutz- 
Aufsichtsbehörden dann wirklich etwas 
tun.” Und es braucht halt jemanden, der 
da vielleicht ein bisschen hinterher ist. 
Und ich muss ehrlich sagen, wir haben 
deutlich unterschätzt, wie wenig die 
Behörden jetzt wirklich aktiv gewor- 
den sind. Der alte Ansatz aus der Zeit 
der Richtlinie, nach dem Motto „Reden 
wir mal darüber und machen wir mal 
irgendein Paper und so weiter” ist halt 
noch immer sehr, sehr stark. Und dieser 
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Kulturwandel zu einer Durchsetzungs- 
Organisation hat halt nicht wirklich 
stattgefunden, das merkt man schon 
sehr stark. Also ich glaube, dass es noyb 
aktuell mehr braucht als ursprünglich 
gedacht. 


noyb hat gleich am ersten Tag der 
Anwendbarkeit der DSGVO mehre- 
re Beschwerden eingereicht. In Ir- 
land, in Luxemburg, in Frankreich, 
in Österreich sicher auch. Nach fünf 
Jahren sollten die ja alle vollständig 
bearbeitet sein. Wie ist denn da der 
Stand? 


Ja, also der Stand ist ganz interes- 
sant. Ein Fall war in Frankreich, und 
das war Google, und da hat die franzö- 
sische Behörde direkt entschieden. Das 
war malin neun Monaten entschieden. 
Zwar auch nicht ganz, aber zumindest 
im Kern. Auch mit einer Strafe von 50 
Millionen Euro. Die anderen Fälle sind 
nach Irland gegangen und da ist ein- 
fach jahrelang nichts entschieden wor- 
den. Da werden Berichte geschrieben 
und wieder Berichte geschrieben und 
die Akten werden dicker und dicker 
und dicker. 

Eine unserer Beschwerden betrifft die 
Rechtsgrundlagen der Datenverarbei- 
tung von Facebook. Also, die probieren 
halt statt der ausdrücklichen Einwil- 
ligung zur Verarbeitung eine Einwilli- 
gungsklausel in den Nutzungsvertrag 
zu schreiben und dann zu sagen: „Naja, 
wenn die Einwilligung im Vertrag steht, 
dann ist es vertraglich notwendig und 
dann gilt nicht mehr Art. 6 Abs. 1lit. a, 
sondern Art. 6 Abs. 1 lit. b der DSGVO.” 
Das war so die Idee. Zu diesem Thema 
hat ja der EDSA schon Anfang 2019 die 
Leitlinien? über die Verarbeitung von 
personenbezogenen Daten aufgrund 
von Verträgen beschlossen, und da war 
eigentlich dann schon klar, dass euro- 


paweit eigentlich diese Sicht herrscht, 
dass das Vorgehen von Facebook nicht 
geht. Die irische Behörde hatte ja pro- 
biert in diese Leitlinien hinein zu re- 
klamieren, dass soziale Netzwerke für 
Werbung das tun können sollen. Natür- 
lich hat die irische Behörde gesagt, dass 
ihre Forderung gar nicht spezifisch sei 
zu dem Fall, der gerade bei ihnen liegt. 

Als die Leitlinien beschlossen waren, 
hat die irische Behörde dann an den 
EDSA geschrieben, dass bitte diese Leit- 
linien nicht veröffentlicht werden sol- 
len, weil sie ja jetzt unmittelbar einen 
Fall haben und der ja bald entschieden 
wird. Und die Entscheidung war dann 
vier Jahre später. 

An diesem Fall sieht man halt, wie 
mit einem Draft von einem Draft von ei- 
nem Report, der dann wieder irgendwie 
beantwortet wird und zirkuliert wird, 
Verfahren wirklich endlos verzögert 
werden. Und man muss sagen, dass wir 
in Irland ja in der Zwischenzeit schon 
ein Gerichtsverfahren gegen die irische 
Behörde angestrengt hatten, dass die da 
überhaupt entscheiden. Und selbst das 
Gerichtsverfahren ist zwei Jahre lang 
verzögert worden, bis wir überhaupt 
mal vor einem Richter standen, der 
sich anhörte, dass das behördliche Be- 
schwerdeverfahren verzögert ist. Also 
am Ende merkt man, dass man einfach 
durch Papiere produzieren und sie im 
Kreis zu schicken halt unaufhaltsame 
Ergebnisse zwar nicht verhindern kann, 
sie aber trotzdem sehr lange herauszö- 
gern kann. Und da sieht man halt, dass 
auch die Verfahren dann nicht so gut 
funktionieren. 


Die Beschwerden von noyb bezüg- 
lich der verschiedenen Dienste von 
Meta (damals noch Facebook) waren 
auch die Grundlage für die verbind- 
lichen Entscheidungen des EDSA ge- 
mäß Art. 65 DSGVO?. 
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Wir haben von Anfang an die Meinung 
vertreten, dass eine Vertragsklausel 
die Anforderungen der DSGVO an eine 
Einwilligung erfüllen muss, weil es für 
die Einwilligung ja egal ist, ob die Ein- 
willigung in den AGB drinsteht oder 
woanders. Der Natur nach ist das eine 
Einwilligung, und es kann keinen Un- 
terschied machen, wenn es auf einem 
anderen Papier draufsteht. Der EDSA 
hat die Möglichkeit der Anwendung von 
Art. 6 Abs. 1 lit. b DSGVO im Fall von 
Facebook diskutiert und hat gefunden, 
dass das so nicht geht und hat damit die 
Vertragsklausel nicht als gültige Einwil- 
ligung betrachtet. 

Auf unsere ursprüngliche Beschwer- 
de, dass diese Vertragsklausel keine 
Einwilligung und deswegen ungültig 
sei, hatten die Iren gesagt, eben weil 
es die Definition der Einwilligung nicht 
erfüllt, weil sie nicht freimillig ist und 
so weiter, kann es ja gar keine Ein- 
willigung sein, deswegen muss es ein 
Vertrag sein. Also wir haben das Ganze 
halt umgekehrt aufgezäumt. Wir haben 
dann, nachdem uns klar geworden ist, 
dass Facebook beinhart auf Art. 6 Abs. 1 
lit. b DSGVO als Rechtsgrundlage be- 
steht, eine Liste gemacht von, je nach 
Dienst, bis zu neun oder zehn verschie- 
denen Zwecken, für die aufgrund des 
Vertrages einfach keine Rechtsgrund- 
lage besteht. Wir haben dann gesagt, 
gut, dann diskutieren wir nicht, was für 
eine Rechtsgrundlage das ist, sondern 
probieren wir den Fall halt anhand der 
Zwecke aufzuziehen und zu sagen, gut, 
diese fünf, sechs, sieben, acht Zwecke 
sind auf jeden Fall nicht gedeckt, egal, 
was ihr da jetzt einordnet. Und da ist 
es interessant, dass wir eigentlich von 
diesen Zwecken nur zu einem halben 
überhaupt eine Entscheidung bekom- 
men haben. 

Also wir haben da zum Beispiel ge- 
sagt, die Daten dürfen jetzt auch nicht 
weitergegeben werden an verbundene 
Unternehmen oder die dürfen jetztauch 
nicht für die Personalisierung vom Con- 
tent verwendet werden und so weiter. 
Also gibt es alle möglichen Zwecke, die 
da drinnen sind und der EDSA hat dann 
statt zu dem was wir beantragt haben, 
nämlich zur Werbung, zu entscheiden, 
seine Entscheidung beschränkt auf die 
Verwendung der Daten für behavioral 
advertisement, also verhaltensbasierte 
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Werbung. Das war aber nicht unser An- 
trag. Unser Antrag war, die Daten dür- 
fen generell nicht für Werbung verwen- 
det werden. Und keiner weiß eigentlich, 
warum der EDSA seine Entscheidung auf 
behavioral advertisement limitiert hat, 
und keiner weiß auch, warum die Anträ- 
ge bezüglich der anderen zehn Zwecke 
eigentlich nie bearbeitet worden sind. 

Die Österreicher sagen zum Beispiel, 
das liegt jetzt noch vor der irischen Be- 
hörde und natürlich sind die Anträge 
rechtsgültig eingebracht und die müs- 
sen entschieden werden. Und die irische 
Behörde sagt wiederum, die Anträge 
hätten sie nicht bearbeitet, weil sie gar 
nicht in der ursprünglichen Beschwerde 
enthalten waren. Das heißt, die Behör- 
den streiten schon mal, was überhaupt 
der Gegenstand der Beschwerdeist, und 
das viereinhalb Jahre später. Für uns ist 
das die Schwierigkeit: Egal, vor welches 
Gericht wir gehen, sagt halt jede beklag- 
te Behörde, die andere Behörde hat et- 
was falsch gemacht. Also, in Österreich 
sagen sie, sie hätten die Beschwerde 
ganz vorbildlich nach Irland geschickt. 
Und was können sie dafür, dass die Iren 
jetzt nichts tun? 

Und die Iren sagen, das ist überhaupt 
nie von Österreich zu uns gekommen, 
weil sie ignorieren, dass das überhaupt 
ein Teil des Verfahrens ist. Und damit ist 
man dann als Beschwerdeführer struk- 
turell am Ende des Rechtswegs ange- 
kommen. 

An diesem Beispiel des Facebook-Ver- 
fahrens haben wir die fehlende Rechts- 
grundlage der Verarbeitung für neun 
verschiedene Zwecke bemängelt, und 
zu einem halben Zweck ist entschieden 
worden, und das nach viereinhalb Jah- 
ren. Das alles passiert in einem Fall, der 
eigentlich sehr viel Aufmerksamkeit be- 
kommen hat, dann sieht man deutlich, 
dass es massive Probleme mit der Durch- 
setzung der DSGVO hat. 


Ja. Also man fragt sich, ist das mehr 
Kafka oder mehr Joyce? 


Also ich habe irgendwann mal ange- 
fangen Kafka zu lesen, weil alle so oft 
darauf referenziert haben und ich muss 
ehrlich sagen, was wir die letzten fünf 
Jahre erlebt haben, da ist Kafka also 
wirklich harmlos dagegen. Wir haben 
Fälle, also ganz banale Sachen, wir ha- 


ben Fälle, wo die Iren und die Franzosen 
jetzt dreimal schon im Kreis streiten, 
wer eigentlich zuständig ist für Goog- 
le. Jeder sagt, der andere ist zuständig. 
Dann haben wir in Polen zum Beispiel, 
wenn du Akteneinsicht nehmen willst, 
sagen die, nein, das geht nur physisch 
bei der polnischen Datenschutzbehörde 
in Warschau. Das heißt, du musst dann 
dort irgendwo aus Europa nach War- 
schau fahren oder fliegen. 

Und dann gibt es dort keinen Ko- 
pierer, sondern du musst mit deinem 
Handy Fotos machen von den Akten. 
Du kriegst aber pro Akte nur begrenzte 
Zeit, etwa 30 Minuten. In Irland haben 
wir immer wieder solche Situationen. 
In Irland streiten wir über jedes blöde 
Dokument, wo es heißt, ja, wir hätten 
alle Unterlagen bekommen, aber dann 
sehen wir in irgendeiner Fußnote, dass 
wieder irgendein Dokument referenziert 
worden ist, das wir nicht bekommen ha- 
ben. Dann muss man dem wieder hinter- 
herlaufen, und man kriegt es dann nach 
drei Monaten, und in dem Dokument 
stehen wieder fünf andere Dokumente, 
die man auch noch nicht bekommen 
hat. Die Österreicher sagen dann, die 
Iren geben es uns nicht, oder die Deut- 
schen sagen dann das gleiche, die Iren 
sagen, ja wir geben es euch gar nicht, 
weil es schon Argumente gegeben hat, 
dass sie das aus irgendwelchen Daten- 
schutzgründen nicht weitergeben kön- 
nen. Prinzipiell stempeln die Unterneh- 
men alle Akten, wirklich jedes E-Mail, 
als Betriebs- und Geschäftsgeheimnis. 
Selbst eine E-Mail, in der nur steht „Ent- 
schuldigung, wir bringen die Antwort 
erst eine Woche später ein.” wird dann 
als Betriebs- und Geschäftsgeheimnis 
eingestuft. 

Und es wird wirklich auf allen Ebenen 
versucht irgendwie diese Fälle loszu- 
werden, Da sehen wir halt auch einen 
sehr großen Trend von den Behörden. 
Ich verstehe natürlich die Motivation. 
Es gibt ein extrem hohes Beschwer- 
deaufkommen, weil sich einfach auch 
wirklich wenig an das Gesetz gehalten 
wird, und die Behörden probieren dann 
zu einem großen Teil diese Beschwerden 
irgendwie nicht bearbeiten zu müssen. 
Der extremste Fall ist aktuell Frank- 
reich, wo die Behörde einfach prinzipi- 
ell die Meinung vertritt, sie müsse Be- 
schwerden überhaupt nicht bearbeiten. 
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Das sei eher so eine Art Petition oder so 
eine Art Informationsschreiben an die 
Behörde. 

Leider sehen wir Ähnliches dann auch 
bei den Gerichten. Eine Durchsetzungs- 
option der DSGVO sind ja Zivilgerichte 
und dort sieht man auch, dass sich vie- 
le Richter einfach nicht mit der DSGVO 
beschäftigen wollen. Es ist ein Gesetz, 
das sie noch nie gesehen haben, was 
kompliziert ist und dann probiert man 
irgendeinen Grund zu finden, um den 
Fall abzuweisen. 

Damit steht man wirklich mit diesem 
Grundrecht auf Datenschutz zum gro- 
ßen Teil einfach vor verschlossenen Tü- 
ren. Also jeder sagt: „Bitte, ich verstehe, 
eh ganz wichtig, Grundrechte. Aber bit- 
te nicht bei mir.” Und das ist schon sehr 
extrem. 


Dem EuGH liegen ja jetzt zwei Fälle 
vor, an denen ihr auch beteiligt wart. 


Einmal geht da es um den Fall, wo der 
österreichische Richter gesagt hat, Da- 
tenverlust ist doch kein Schaden. Ja, in 
dem Fall war esnoch ein bisschen diffe- 
renzierter, weil die österreichische Post 
die wahrscheinliche politische Ausrich- 
tung ihrer Kunden berechnet hat. Und 
dem Betroffenen ist sozusagen berech- 
net worden, dass er der rechtsextremen 
FPÖ nahe wäre. Allerdings war der auf 
der österreichischen Robinson-Liste 
drauf und die Post sagt, soweit sie das 
nachvollziehen kann, hat sie diese Da- 
ten nie an jemand anderen weitergege- 
ben, sondern es war sozusagen nur bei 
ihnen lokal gespeichert. Und sie glau- 
ben, dass sie es nie jemandem weiterge- 
geben haben. Ob es weitergegeben wor- 
den ist oder nicht, könne man heutzu- 
tage einfach nicht mehr feststellen, also 
nach 20 Jahren weiß man es nicht mehr, 
wann das wo weitergegeben worden ist 
oder nicht. Es gibt also einfach kein Be- 
weisergebnis zur Frage der Weitergabe. 

So, und jetzt war die Frage, ob allein 
diese Berechnung über ihn, die ihn halt 
ein bisschen empört hat, weil das halt 
politisch doch ein bisschen extrem ist, 
ob das schon zum Schadenersatz reicht. 
Und daistinteressant, und da sieht man 
auch die Struktur, mit der wir sehr viel 
beschäftigt sind. Es hat ja in Deutsch- 
land diese Theorie von einer Erheblich- 
keitsschwelle gegeben für Schadener- 
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satz und das kommt aus dem deutschen 
Grundgesetz und hat nach dem deut- 
schen BDSG auch Sinn gemacht, weil 
man ja gesagt hat, es kann ja nicht das 
allgemeine Persönlichkeitsrecht nach 
dem Grundgesetz und der Schadener- 
satz nach dem BDSG verschieden sein. 
Da hat es Sinn gemacht. 

Jetzt hat man probiert diese Recht- 
sprechung auf die DSGVO zu übertra- 
gen. Und in der DSGVO gibt es aber 
überhaupt kein Sterbenswörtchen zu 
einer erheblichen Verletzung. Da steht 
einfach nur immaterieller Schaden. Und 
das ist interessant, weil wir in anderen 
europäischen Rechtsgebieten, also zum 
Beispiel, mit dem ich es ganz gern ver- 
gleiche, der Pauschalreisenrichtlinie, 
ausdrücklich die Bedingung haben, 
dass ich eine erhebliche Trübung mei- 
ner Urlaubsfreuden haben muss. Und da 
kriegen Leute halt 500 Euro, weil statt 
einem Sandstrand ein Kieselstrand ist. 
Und das ist anscheinend ein emotiona- 
ler Schaden, der dann ein paar hundert 
Euro wert ist. 

Gleichzeitig wird aber jetzt gesagt 
- und da gibt es eine sehr sinistre For- 
mulierung, die der österreichische OGH 
vorgelegt hat - danach sei die bloße 
Konsequenz oder Rechtsbruch kein er- 
satzfähiger Schaden. Also sozusagen 
allein, dass jemand anderer ein Gesetz 
bricht, ist ja noch kein Schaden. Wenn 
du aber diese Formulierung nimmst, so- 
zusagen der typische Schaden von einer 
zum Beispiel Auskunftsrechtsverletzung 
oder von einer Nichtlöschung oder von 
falschen Daten, dann ist das per Definiti- 
on der typische Schaden. Also du kannst 
ja praktisch, wenn du sagst, der typische 
Schaden von einer Körperverletzung ist 
nicht ersatzfähig, dann hast du praktisch 
nie wieder einen Schaden ersetzt bekom- 
men bei einer Körperverletzung. Und mit 
so einer Definition, die da versucht wird 
zu verwenden, ist es relativ leicht dann 
für nationale Richter zu sagen: „Naja, 
das war ja einfach nur ein ganz norma- 
ler Data Breach, da sind nur ganz normal 
10 Millionen Daten abhandengekommen 
und dementsprechend ist es nicht scha- 
denersatzfähig, weilja das im Prinzip ge- 
nau das gleiche ist.” 

Man muss auch rechnen, einfach die 
Kosten von so einem Gerichtsverfahren. 
Also eine Klage kostet bei uns aktuell je 
nach Land so im Schnitt etwa 5000 Euro. 


Darunter kriegst du praktisch nieman- 
den, der vor irgendein Gericht geht. Da- 
mit klingt es zwar gut, dass die Behörde 
entscheiden muss und wenn die nicht 
innerhalb von drei Monaten mir sagt, 
was sie da getan hat, dann kann ich ja 
vor Gericht ziehen, aber kein Mensch 
zieht für 5000 Euro vor Gericht, weil das 
Einzige, was du davon kriegst, ist die 
Information, dass sie nichts gemacht 
haben. 

Und da hat man schon eine Situation, 
wo das sich in der Theorie alles super 
anhört. Man kann dann mal eine Be- 
schwerde einbringen und das ist kos- 
tenfrei und so weiter. Aber wenn dann 
einfach die Behörde strukturell nicht 
daraufreagiert? 

In Irland hat es Zahlen gegeben von 
bis zu 10.000 Beschwerden im Jahr, in- 
zwischen sagt die Behörde, es sind nur 
3.000 Beschwerden, weil man einfach 
ein bisschen umdefiniert hat, was eine 
Beschwerde ist. Aber man hat halt, was 
weiß ich, 10 Entscheidungen im Jahr. 
Dann hat man halt jenseits dieser Ent- 
scheidungen 99 Prozent aller Beschwer- 
den, die zu keiner Entscheidung führen. 
Und dann kann ich zwar theoretisch in 
Irland vor den High Court gehen, aber 
das kostet in Irland bis zu 100.000 Euro, 
so eine Klage. Geschweige denn, dass 
ich überhaupt einen Anwalt finde, der 
mich verträte dafür, weil das auch sehr 
schwierig ist überhaupt Anwälte zu fin- 
den, die „pro Datenschutz” vertreten, 
weil praktisch alle auf der anderen Seite 
ihr Geld machen, dann hat man schon 
strukturelle Situationen, wo eigentlich 
die Durchsetzung dieser Rechte voll- 
kommen fiktiv ist. 


Nun ist es ein sehr spezieller Fall. 


Ich denke schon, dass auch andere 
Datenschutzbehörden das Recht nicht 
so anwenden, wie man das eigentlich 
erwartet, nachdem der Gesetzgeber es 
beschlossen hat. Ja, also ich glaube, 
dass wir jetzt nach fünf Jahren eine Si- 
tuation haben, wo die Exekutive und 
teilweise auch die Judikative schlicht- 
weg den Gesetzgeber ignorieren. Ich 
denke, es ist schon sehr klar gewesen, 
dass die Idee des Gesetzgebers war, dass 
Datenschutz jetzt mit der DSGVO ordent- 
lich durchgesetzt wird. Und man muss 
auch sagen, es waren über 90 Prozent, 
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die im EU-Parlament dafür gestimmt 
haben, es waren alle Mitgliedsstaaten 
dafür, bis auf Österreich, weil wir es ir- 
gendwie noch strenger haben wollten. 
Also dieses Gesetz hat demokratisch 
eine extrem große Legitimierung. 

Und es hat Teile der Industrie oder 
teilweise auch sozusagen aus der Leh- 
re und so weiter schon zusammenge- 
bracht fünf Jahre lang dieses Gesetz so 
zu bombardieren und so zu zerlöchern 
und so zu hinterfragen, dass innerhalb 
der Datenschutz-Bubble schon oft so 
das Gefühl ist: „Naja, also so ganz ernst 
kann man das ja nicht nehmen und so 
ganz voll kann man das ja nicht durch- 
setzen.” 

Das merken wir jetzt schon sehr stark, 
auch wenn wir mit Datenschutzbehör- 
den sprechen. 

Ich kann das jetzt nicht direkt zitie- 
ren, aber da gibt es Fälle, wo dir einfach 
Leute von den Behörden sagen „Ja, das 
wäre ja lustig, wenn wir das mal alles 
durchsetzen.” Und dann stellt man sich 
schon die Frage, für was wir diese Be- 
hörden haben, für was wir diese Grund- 
rechte haben. Und wir kriegen das auch 
in E-Mails sehr stark. Wir kriegen echt 
viele E-Mails, wo es dann heißt „Diesind 
alle korrupt und die machen eh nichts 
und die sind vollkommen nutzlos und 
so weiter.” Natürlich gibt es halt einen 
gewissen Teil von Leuten, die sagen „Die 
Behörde hat mir voll toll geholfen und 
hat das super gemacht.” Die muss man 
aber mit der Lupe suchen. Ich glaube, 
dass da oft jetzt einfach der Kulturwan- 
del gefehlt hat. Also gar nicht jetzt ir- 
gendwie Bösartigkeit oder so was, son- 
dern es ist ein Unterschied, wenn man 
eine Aufsichtsbehörde ist, die ein paar 
Guidelines macht und eine Konferenz 
und ein bisschen da herumtut, oder ob 
man halt eine wirkliche Durchsetzungs- 
behörde ist. 

Ich glaube es ist schwierig zu ver- 
stehen, dass jeder Falschparker wahr- 
scheinlicher eine Strafe bekommt als 
jemand, der Millionen Datensätze ver- 
untreut. Das sehe ich auch sehr stark 
bei Konferenzen. Ich bin ja sehr stark 
auch bei Unternehmenskonferenzen als 
Speaker oder Vortragender. Und da sind 
die Leute inzwischen schon sehr klar 
und abgebrüht und sagen: „Die Realität 
ist, da wird nichts durchgesetzt, da wird 
es keine Konsequenz geben.” Und auch 
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oft sind - glaube ich - die Datenschutz- 
beauftragten frustriert, weil die halt 
sagen: „Ich sage meinem Chef, das ist 
eigentlich nicht erlaubt, aber die Ant- 
wort ist, es gibt eh keine Konsequenz.” 
Und jetzt sind wir halt dann wieder auf 
dem Status, den wir gehabt haben bei 
der alten Richtlinie. Dass es zwar theo- 
retisch dasteht, aber dann einfach fak- 
tisch nicht gemacht wird. Und da haben 
wir schon ein Rechtsstaatlichkeitsde- 
mokratie-Problem, wirklich, weil, wenn 
wir in einem demokratischen Prozess 
entscheiden, dass es die Strafen gibt, 
- die für mich auch teilweise zu hoch 
sind und so weiter, das kann man alles 
diskutieren - aber am Ende gibt es eine 
demokratische Entscheidung und die 
wird aber einfach nicht durchgesetzt 
oder ignoriert, dann haben wir schon 
ein bisschen ein Rechtsstaatsproblem. 
Also ein bisschen ein großes. 


Auf diese Beobachtungen hat ja 
nun die Europäische Kommission mit 
einer Initiative reagiert, zur Verbes- 
serung der Verfahren zur Durchset- 
zung der DSGVO. Wie seht ihr diese 
Initiative? 


Ja, also, wir haben jetzt mal eine ers- 
te Präsentation bekommen von dem, 
was da vorgesehen wird, und wir haben 
sehr stark das Gefühl, dass einfach auf 
die zwei, drei Fälle reagiert wird, die wir 
bisher gehabt haben, das war halt die 
Situation rund um Facebook und EDSA- 
Entscheidungen inzwischen gegen Ir- 
land. Aber eigentlich werden viele da- 
runterliegende Probleme strukturell 
nicht angegangen. Also, wir brauchen 
zum Beispiel einfach klare Regeln, 
wann welches Verfahrensrecht anwend- 
barist. Wenn ich jetzt zum Beispiel eine 
Beschwerde einbringe, dann kann ich 
das ja nur nach dem Verfahrensrecht 
von dem jeweiligen Land machen, wo 
ich gerade bin. Gleichzeitig wendet 
aber die federführende Behörde ein- 
fach ihr Verfahrensrecht an, auch auf 
die Beschwerde, die in irgendeinem 
anderen Land eingebracht wird. Und 
da gibt es sehr viele solche grundsätzli- 
chen Fragen, wo man sagen muss, wenn 
man das einmal klarstellen würde und 
sagen, gut, hier endet die Jurisdiktion 
von der Concerned Authority, da fängt 
sie von der Lead Authority an. Mit den 


Elementen kann man schon recht gut 
dann viele von diesen Streitereien oder 
Problemen ausräumen. 

Wir sehen jetzt eher, dass die Kommis- 
sion probiert mit einer Art Beschwerde- 
formular, mit einer Kooperation sozu- 
sagen, die ein bisschen früher beginnt 
zwischen den Behörden, aus den ak- 
tuellen Problemen zu lernen. Also das 
wäre ja auch an sich sinnvoll, aber dass 
die strukturellen drunter liegenden Pro- 
bleme, die einfach prozessrechtliche 
Grundsatzprobleme sind, damit nicht 
wirklich gelöst werden, ist meine Be- 
fürchtung. 

Und damit wäre eigentlich eine gro- 
ße Chance vielleicht vertan. Und das 
Problem ist auch, dass irgendwie Ver- 
fahrensrecht halt nicht sexy ist. Also 
ist das politisch uninteressant, keiner 
macht dazu groß irgendwas. Aber es ist 
unterm Strich sozusagen das, was im 
Maschinenraum die Sache am Laufen 
hält oder halt nicht am Laufen hält. Und 
da ist deutlich mehr zu tun, als das, was 
die Kommission jetzt aktuell so anschei- 
nend plant. 


Es gab ja da eine public consulta- 
tion‘ mit einem Dokument der Kom- 
mission und dazu hat noyb auch eine 
Stellungnahme eingereicht. 


Ja, ich glaube, die längste und fet- 
teste. Wir haben aus unserer Erfahrung 
wirklich geschaut, wo wir überall schon 
Probleme gehabt haben. Wir haben eine 
Problemliste von über 60 faktischen 
Problemen, die du wirklich am Boden 
der Tatsachen in Verfahren hast, auf- 
gestellt. Und haben probiert aus diesen 
Problemen Konzepte herauszuarbeiten, 
mit welchem grundsätzlichen Konzept 
man jedes dieser Probleme lösen könn- 
te. Also zum Beispiel mit einer klaren 
Festlegung, welches nationale Recht 
wann anzuwenden ist, könnte man 
schon recht viele Probleme klären. Wenn 
man dann einfach sagt, gut, der eineist 
zuständig, dann ist es so und dann wis- 
sen wiresauch. 

Oder dass man sagt, es gibt gewisse 
Minimumstandards, wo man sagt, zu- 
mindest muss jeder Akteneinsicht ha- 
ben, zumindest muss jeder irgendwie 
gehört werden. Diese Dinge, das sind ja 
auch Sachen, die eigentlich unstrittig 
sind, muss man sagen. Und ich glaube, 
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mit diesen Grundsatzkonzepten würden 
wir sehr weit kommen, weil man halt wie 
immer mit einer sehr abstrakten Rege- 
lung viel erreichen kann, wenn sie gut 
geschrieben ist. Und aus dem heraus 
haben wir sogar eine Verordnung, wie 
man sie schreiben könnte, mal vorge- 
legt. Die ist jetzt nicht perfekt und die 
ist nicht final, aber bei der man zumin- 
dest eine Idee hätte, wie so eine Struk- 
tur ausschauen könnte, die einfach Sinn 
ergibt. Und die Idee davon war eben 
nicht das jetzt sehr „pro Datenschutz” 
zu machen oder sich in irgendeine Rich- 
tung zu bewegen, sondern wirklich sich 
zu überlegen, wie machen wir die Zivil- 
verfahrensordnungen, die es gibt, also 
Small Claims Procedure, Europäisches 
Mahnverfahren, diese ganzen Sachen, 
die es ja schon gibt. Auch EGVVO, also 
da gibt es ja schon viele Modelle, wo 
man sieht, okay, das gibt es schon, das 
kennen die Juristen schon, das ist auch 
was, wo man den Leute nicht sozusagen 
prinzipiell neu erklären muss, was esist, 
weil sie esschon aus anderen Rechtsbe- 
reichen kennen, und ich glaube mit so 
einem Zugang wird man wahrscheinlich 
deutlich weiterkommen. 


Die Kommission hat über 70 Ant- 
worten? bekommen auf ihren Auf- 
ruf zum Call for Evidence, das heißt 
praktische Erfahrungsberichte, und 
sie möchte im zweiten Quartal 2023 
einen neuen Bericht dazu veröffentli- 
chen. Gibt es Aussagen von der Kom- 
mission zur Planung für eine gesetz- 
geberische Initiative? 


Unser Informationsstand ist, dass 
sie es noch in dieser Legislaturperiode 
durchbringen wollen. Und das heißt 
aber auch, dass es in Wirklichkeit schon 
eine geschriebene Version gibt, wäh- 
rend der Call for Evidence noch gelaufen 
ist. Und das macht jetzt, sagen wir mal, 
die Qualität vielleicht nicht unbedingt 
besser. Und das andere Problem, was 
wir dabei auch haben, ist, dass dieser 
Call for Evidence, um ehrlich zu sein, in 
der Qualität von den Inputs sehr über- 
schaubar ist. Also, man merkt, dass es 
am Ende etwa 30 Industriepapers gibt. 
Sonst gibt es von uns was und von Ac- 
cess und EDRi kürzere Stellungnahmen. 
Aber es gibt sehr wenige, die in dem 
Bereich überhaupt Erfahrung haben. 
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Und auch bei den Industriepapers sieht 
man, dass im Hintergrund sehr oft Fa- 
cebook das instrumentalisiert hat, weil 
da ganz spezifisch zu ihrem Verfahren 
steht, was sie wollen. 

Das ist dann von fünf, sechs Indust- 
rieverbänden, wo Meta dabei ist, wie- 
derholt und wiederholt und wiederholt 
worden. Da sieht man auch, dass es von 
der Unternehmensseite wenig Subs- 
tanz gibt, was die da wollen oder nicht 
wollen, weil die meisten Verfahren so 
stecken, dass eigentlich viele so ein 
Verfahren noch gar nicht durchgemacht 
haben. Auch von anderen NGOs, die in 
dem Bereich arbeiten, die wissen ge- 
nerell um die Probleme, aber sie haben 
selber auch nicht diese Hands-on-Er- 
fahrung und man muss halt sagen, wir 
sind die einzigen, die aktuell über 800 
Verfahren betreiben, die schon einen 
ganz guten Überblick haben, was alles 
schief geht und da glaube ich, ist auch 
das Problem sozusagen von dem Input 
zu dieser Regelung, dass die Kommissi- 
on sich großteils auf das verlassen hat, 
was die Datenschutzbehörden wollen. 
Und da muss man aber sagen, dass jetzt 
sozusagen eine Behörde normalerweise 
nicht zu viel Interesse hat ein strenges 
Verfahrensrecht zu haben. 

Es gibt ja einen Grund, warum wir 
auf europäischer Ebene auch für die 
Kommission kein Verfahrensrecht ha- 
ben, wie wir es in Deutschland oder in 
Österreich kennen. Da hat man schon 
den Eindruck, dass man teilweise eher 
probiert die Verfahren loszuwerden. 
Oder zum Beispiel dieses französische 
Modell, wo man sagt, der Beschwerde- 
führer ist eigentlich gar nicht Partei, 
weil es ja nicht so ist, als ob es um seine 
Grundrechte gehen würde. Und da gibt 
es schon einen sehr starken Trend, dass 
man probiert sich nur mit den Unter- 
nehmen zu beschäftigen und nicht mehr 
mit den Betroffenen. 

Und das ist teilweise verständlich, 
weil die Kommission selber sehr stark 
darauf schaut, was es bisher im Wett- 
bewerbsrecht und im Kartellrecht gibt. 
Da hast du normalerweise eine abstrak- 
te Figur, den Markt, den du schützt. 
Bei uns aber, beim Auskunftsersuchen, 
hast du einen ganz konkreten Hans 
Huber, der einfach seine Daten nicht 
bekommen hat oder die nicht gelöscht 
bekommen hat. Das ist kein öffentliches 


Interesse im Breiteren. Das ist ein Pri- 
vatinteresse von einer Einzelperson. Da 
wird aber trotzdem jetzt versucht mehr 
oder weniger das französische Modell 
in Europa einzuführen, wo man sagt: 
„Naja, der ist so eine Art Hinweisgeber, 
aber sonst hat er eigentlich keine Rech- 
te.” Und das ist für mich halt schon ex- 
trem zynisch, wenn man sich denkt, wir 
haben ja da einen Grundrechtsschutz 
und wir haben da einen Betroffenen, der 
eine Meinung äußern will, er wird aber 
nicht gehört. Das macht einfach struk- 
turell wenig Sinn. 

Und es ist mir vollkommen bewusst, 
dass diese Beschwerden sehr mühsam 
sind und viele Beschwerdeführer auch 
sehr mühsam sind. Wir kriegen ja auch 
die E-Mails. Aber die Lösung kann nicht 
sein, dass wir einfach sagen „Die wer- 
den einfach gar nicht mehr gehört, im 
Bausch und Bogen.” Und da merkt man 
aber schon, dass es da ein gewisses In- 
teresse von den Datenschutzbehörden 
gibt, und die sagen uns das auch ei- 
gentlich durchaus direkt, dass sie halt 
jetzt probieren Beschwerden, die nicht 
genau Beschwerde nach Art. 77 DSGVO 
genannt werden, als reine informelle 
Anfragen zu behandeln. Damit kann 
man sein Beschwerdeaufkommen schon 
gut minimieren. Wir sehen das ganz ex- 
trem in Frankreich, in Schweden war es 
auch so, wo die gesagt haben, man hat 
überhaupt gar kein Beschwerderecht. 
Also man hat eigentlich nur so ein Peti- 
tionsrecht, dass man halt ein Recht hat 
die darauf aufmerksam zu machen, dass 
was ist. Aber man hat dann überhaupt 
kein Recht, dass die das irgendwie be- 
handeln oder weiter was tun damit. Da 
haben wir in Schweden als noyb gegen 
die schwedische Behörde vor allen Ge- 
richten gewonnen. Das ist jetzt in der 
letzten Instanz, aber bisher haben uns 
alle Gerichte Recht gegeben, dass die 
das schon bearbeiten müssen. 

Aber da sieht man, dass die Behörden 
wirklich probieren diese Beschwerden 
loszuwerden. Und um ein bisschen raus 
zu zoomen, ich glaube wir haben halt 
ein Generalpräventionsproblem. Also 
natürlich, wenn auf fast jeder Webseite 
irgendwo Datenschutzverletzungen zu 
sehen sind, dann können viele Leute 
sich beschweren und werden sich auch 
viele Leute beschweren. Wenn es dann 
keine Durchsetzung gibt, wird dieser 
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Status so bleiben. Und ich glaube, wir 
müssen irgendwann einmal wirklich mit 
der Durchsetzung massiv reinfahren, in 
der Hoffnung, dass Unternehmen sich 
dann selbstständig schon dranhalten 
und damit auch das Beschwerdeauf- 
kommen runtergeht. 

Also ich habe bei uns permanent Da- 
tenschutzbeauftragte, die mich dann 
ansprechen und sagen „Danke, dass es 
zumindest Euch gibt, weil, auch wenn 
nichts rauskommt, allein dass es sozu- 
sagen Presseberichterstattung gibt und 
die Namen von den Unternehmen dann 
irgendwo öffentlich sind, das wirkt 
dann, dass dann doch jemand mal was 
tut, also bei mir im Unternehmen jeweils 
dann.” Und da gibt es wirklich Leute, 
die sagen, wir als NGO seien der größere 
Faktor, dass sie ihren Chef überzeugen 
sich an die DSGVO zu halten, als die Auf- 
sichtsbehörde. Und das kann halt nicht 
sein, dass wir als Verein da irgendwie re- 
levanter sind, oder? 


Gelten diese Beobachtungen ei- 
gentlich nur für grenzüberschreiten- 
de Verarbeitung oder ist es auch bei 
einfachen Fällen, die direkt in einem 
Mitgliedsstaat entschieden werden 
können, eine ähnliche Problematik, 
wie wir das bei diesen 0SS-Geschich- 
ten haben? 


Das ist sehr ähnlich. Wir haben auch 
national jetzt nicht wirklich große Tä- 
tigkeiten. Ich glaube, es ist ein biss- 
chen verschieden pro Nation. Also wir 
sehen zum Beispiel, dass die spanische 
Behörde im Schnitt sechs, sieben Ent- 
scheidungen am Tag raushaut. Also da 
passiert schon was. Wir sehen zum Bei- 
spiel, dass die französische Behörde mit 
diesen Ex-offizio-Verfahren sehr stark 
ist. Auch muss man sagen, dass sie ihre 
Arbeit medial sehr gut verkauft. Also, 
es gibt schon da und dort ein bisschen 
mehr Aktivität, oder auch die Italiener 
haben in letzter Zeit ein bisschen mehr 
diese großen Headline-Geschichten ge- 
macht. Nur fehlt es dann oft in der Brei- 
te. In Spanien zum Beispiel wäre viel- 
leicht die Breite da, aber zum Beispiel 
bei der CNIL ist es so, dass die sagen, sie 
machen was zur Cookie-Problematik: 20 
Verfahren. Bei einem Land wie Frank- 
reich nur 20 Verfahren zu machen ist 
halt süß. Wenn du denkst, wir betreiben 
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derzeit über 600 Verfahren zu Cookie 
Banners als eine deutlich kleinere Orga- 
nisation, dann fehlt es da einfach sehr 
oft auch an der technischen Ausstat- 
tung. Wir machen das ja zum Beispiel 
mit einfachen Systemen, die das auto- 
matisch erkennen und die Beschwer- 
den automatisch bauen und so weiter. 
Es ist noch immer viel Handarbeit, aber 
es ist sehr, sehr viel automatisiert. Ich 
glaube, da fehlt auch oft die Kreativität 
oder die Überlegung, wie man so etwas 
macht. Ich glaube, wir bräuchten sehr 
viele Beamte, die aus anderen Berei- 
chen mit Erfahrung zur Rechtsdurchset- 
zung kommen, z.B. in der Durchsetzung 
von Steuerschulden. 

Da ist es ja auch so, dass die Steuer- 
behörden durchaus kreativ sind und 
durchaus da einfach beim Unternehmen 
mal rein spazieren und sagen: „So, jetzt 
wollen wir mal haben, was ihr dain den 
Akten habt.” Das ist eine ganz andere 
Herangehensweise, als wir sie im Daten- 
schutz kennen. Und ich glaube, diese 
Kultur wäre teilweise wichtig. Wir haben 
halt diese Cookie-Banner-Systematik, 
wo wir praktisch Webseiten scannen auf 
Rechtsverstöße. Ich sehe das so ähnlich 
wie so eine Geschwindigkeitskamera. 
Die macht automatisch ein Bild, rech- 
net automatisch das Kennzeichen raus, 
sucht dann im Kennzeichenregister, wer 
der Halter ist und schickt dem Halter die 
Rechnung zu oder halt den Strafzettel. 
Und das schaut sich zumindest in Öster- 
reich kein Mensch an. Also das passiert 
alles automatisch. 

Bis irgendeiner sagt, da gibt es ei- 
nen Fehler und wenn sich jemand be- 
schwert, dann wird menschlich über- 
prüft. Aber zu 99 Prozent zahlen die 
Leute halt einfach ihre Strafe, weil sie 
wissen, dass es einfach eine Geschwin- 
digkeitsübertretung war. Und dann hat 
es sich auch. Das Spannende ist, dass 
wir diese digitalen Massenverletzungen 
eigentlich mit absolut analogen Mitteln 
gerade bekämpfen. Und wo endlose 
Schriftsätze geschrieben werden und 
eigentlich selten wirklich technisch 
analysiert wird, was da wirklich pas- 
siert, sondern das sagt halt ein Anwalt 
„Nein, das machen wir gar nicht und das 
speichern wir gar nicht.” und der ande- 
re sagt „Doch, wir glauben schon, dass 
ihr das speichert.” und keiner geht hin 
und überprüft es einfach. Und damit 


hast du diese endlosen, wirklich sehr 
sinnlosen Ping-Pong-Geschichten, wo 
in jedem anderen Rechtsbereich einfach 
der Sachverhalt vom Gericht geprüft 
wird. Bei einer Bauverhandlung z.B. 
gibt es einen Lokalaugenschein, dann 
wird geschaut und gemessen und sonst 
was, wie hoch das Haus beispielsweise 
sein darf. 

Und dann ist es so. Dann hat man halt 
zwei Stunden mündliche Verhandlun- 
gen und dann wissen es auch alle. Und 
da gibt es schon Ansätze. Also zum Bei- 
spiel in Belgien gibt es mündliche Ver- 
handlungen, wo auch mir zumindest die 
Beamten dort gesagt haben, dass das 
durchaus effektiv ist, weil man dann 
einfach in zwei Stunden alle an einem 
Tisch hat und dann wird ausgeredet 
und dann ist es das. Aber das ist alles 
sehr, sehr in den Kinderschuhen und 
ich glaube, da fehlt wirklich sehr viel 
Management von Verfahren und Verfah- 
rensoptimierung. 


Es gab ja auch interessante Initiati- 
ven von finanzkräftigen Gruppen, die 
Zivilverfahren zur DSGVO in Großbri- 
tannien, als es noch Mitglied der EU 
war, und auch in den Niederlanden 
gestartet haben. Jetzt hört man län- 
ger nichts mehr. Läuft diese Schiene 
noch oder ist das angesichts der Pro- 
bleme mit den Zivilgerichten einge- 
schlafen? 


Ich glaube, dass da zum Teil eine ge- 
wisse Frustration da ist. Diese Durchset- 
zungsschiene funktioniert dann, wenn 
das Ganze effektiv ist und auch was 
bringt. Und wir sehen, dass die Richter 
wirklich probieren diese Fälle loszuwer- 
den. Zu vielen Faktoren gibt es bisher 
keine EuGH-Rechtsprechung und das 
Risiko ein Verfahren zu machen, wo die 
Kosten eine Million Euro sind - also, die 
Verfahrenskosten von so großen Ver- 
fahren sind ja wirklich riesig, wenn du 
keine wirklich stabile Rechtslage hast, 
also gerade zum Schadenersatz in den 
Bereichen - dann macht das keiner. 

Ich glaube, jetzt warten auch alle ein 
bisschen, was der EuGH so sagt zu dem 
Thema. Dann kann man planen, dann 
kann man sagen, gutin dem Fall haben 
wiresundin dem Fallhaben wir esnicht. 
Wo das jetzt - glaube ich - wieder auffla- 
ckern kann, ist, dass wir ab Sommer die 
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europäische Sammelklage haben, also 
diese Collective Redress Directive, und 
da gibt es die Möglichkeit eben Scha- 
denersatz auch kollektiv durchzusetzen 
und also vor allem Datenschutz kollektiv 
durchzusetzen, so wollteich sagen. Und 
das wäre schon eine Option, wo wir das 
vielleicht wieder sehen. Das hängt aber 
eben sehr stark mit der Frage von Scha- 
denersatz zusammen, weil, wenn ich 
jetzt eine Klage habe, die eine Million 
Euro in Kosten hat, gegen irgendeinen 
von diesen Großkonzernen in teureren 
Ländern, das schnell erreichtist. 

Wenn das Einzige, was ich da einkla- 
ge, eine Unterlassung ist, dann ist das 
eine Geldverbrennung. Weil ich dann 
eine Million Euro Kosten zahle, und viel- 
leicht kriege ich 100.000 Euro zurück. 
Aber wer zahlt 900.000 Euro dafür, dass 
da irgendeine Unterlassung durchge- 
setzt wird? 

Sobald ich hingegen einen Schaden- 
ersatzanspruch habe - und ich glaube, 
Schadenersatz sollte halt auch im Da- 
tenschutzbereich nicht irgendwie exor- 
bitant oder crazy sein - aber sobald eine 
gewisse Summe dasteht, kann ich das 
Ganze schon finanzieren, weilich dann 
das Ganze sozusagen mit Prozesskos- 
tenfinanzierung machen kann und da 
gibt es eine Möglichkeit, dass erstens 
die Leute, die Betroffenen, auch was 
davon bekommen, dass zweitens die 
Unternehmen auch was spüren davon, 
im Gegensatz zur reinen Unterlassung 
für 10.000 Leute, wo ich einfach diese 
10.000 Accounts lösche und ansonsten 
weitermache wie bisher. Wenn es einen 
Schadensersatz gibt, kann man halt sa- 
gen, gut von dem, was da gewonnen ist, 
gehen 5% oder 10% an die Finanzierung 
der Klageführung. Und bei der Collec- 
tive Redress Directive ist es eh so, dass 
die Vereine, die das organisieren, und 
das werden zum Beispiel jetzt wir, sel- 
ber überhaupt nichts daran verdienen 
dürfen. 

Das ist sehr anders bei der amerika- 
nischen Sammelklage. Aber natürlich 
wird es gerade am Anfang sehr schwie- 
rig sein, weil die meisten beklagten 
Unternehmen sagen werden, dass das 
amerikanische Zustände sind und alles 
ist ganz crazy und ganz schlimm. Vie- 
le Richter werden das wahrscheinlich 
auch intuitiv erst einmal so sehen. Und 
das ist ein großer Faktor, der bei uns 
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reinspielt, das ist einfach die Emotion. 
Also, du kannst die beste Argumenta- 
tion haben und den besten Fall haben. 
Wir sehen das dann so vor Gericht, dass 
einfach viele sagen, das ist ja dieses 
blöde Gesetz mit den Cookie-Banners, 
das finde ich blöd, da mache ich nichts. 
Also das ist sehr überspitzt gesagt, aber 
unterm Strich ist es das. Und ich habe 
selber einen Fall gehabt, wo mir über 
einen anderen Kanal dann mitgeteilt 
worden ist, dass die Entscheidungsträ- 
ger einfach die DSGVO blöd finden und 
deswegen dagegen entschieden haben. 


Ja, vielen Dank. Man kann natür- 
lich jetzt im Augenblick nicht ein 
Interview mit Max Schrems führen 
ohne ein mögliches EuGH-Urteil zum 
nächsten Versuch der Kommission, 
die Angemessenheit eines US-ameri- 
kanischen Verfahrens für die Verar- 
beitung von Daten zu erlangen, zu er- 
wähnen. Da hat die Biden-Regierung 
jetzt eine Konstruktion vorgelegt, 
die sicherlich besser ist als alles, was 
es je gab. Und die Kommission ist ja 
gerade dabei ihre Angemessenheits- 
entscheidung vorzubereiten. Und es 
ist wohl sicher, dass es kein Schrems- 
III-Urteil des EuGH geben wird, weil 
der EuGH nicht mehr die Namen von 
Einzelpersonen in der Bezeichnung 
von seinen Verfahren verwendet. 


Ich glaube die Allgemeinheit würde es 
trotzdem so nennen. Ja, also wir wissen 
ja faktisch, dass es politisch beschlos- 
sen worden ist, und wir wissen auch, 
dass das jetzt so kommen wird. Also, 
da braucht man nicht so tun, als ob da 
jetzt noch wirklich groß irgendwas he- 
rum entschieden wird. Das ist einfach 
politisch gewollt und das wird so ge- 
macht. Insofern wissen wir schon ganz 
gut, was da ist. Wir kennen jetzt schon 
große, große Lücken in dieser Executive 
Order und es ist richtig, es ist ein biss- 
chen besser in vielen Bereichen. Es ist 
in einigen Bereichen auch schlechter. 
Also, wenn man diese neue Executive 
Order mit der PPD 28 vergleicht, dann 
gibt es Teilbereiche, wo jetzt auch mehr 
Überwachung zugelassen wird. Also, 
zum Beispiel soll jetzt Massenüberwa- 
chung zulässig sein im Kampf gegen 
Pandemien oder gegen den Klimawan- 
del. Das ist vorher nicht dagestanden. 


Also, es ist nicht nur besser geworden. 
Es gibt auch Bereiche, wo man fragen 
kann, ob das nicht eine Ausweitung ist. 
Ich glaube, es ist so ein bisschen Silicon 
Valley-Sprechweise: „Let's fail better 
next time“. Also im Sinne von, wir ma- 
chen schon ein bisschen besser, aber 
wir kommen noch immer nicht über die 
Hürde drüber. 

Ich sage immer, es ist nett, wenn man 
einen Gartenzaun baut und das erste 
Mal war er 5 cm und jetzt ist er 5,5 cm 
und das nächste Mal ist er 7 cm. Aber 
das ist trotzdem kein Gartenzaun, der 
irgendjemanden abhält. Und ich glau- 
be, das ist so - sehr bildlich gesprochen 
- das Spiel, das wir da gerade spielen. 

Und es ist auch, muss ich sagen, für 
die Kommission schwierig, wenn die auf 
der einen Seite sagt, sie sind der Hü- 
ter des Rechtsstaats und irgendwelche 
bösen, bösen ungarischen und polni- 
schen Despoten halten sich ja nicht an 
EuGH-Urteile. Und dann verabschiedest 
du halt selber das gleiche Ding wieder 
und wieder. Und ja, du machst schon 
ein bisschen was anders, aber es ist 
jetzt keine grundsätzliche Änderung. 
Also gerade von Safe Harbor auf Privacy 
Shield, das war im Prinzip der gleiche 
Text. Dann ist es, finde ich, auch eine 
Glaubwürdigkeitsfrage oder auch ein 
politisch größeres Problem. 

Oder wenn man sagt „Gut, dieses Ge- 
richt, was jetzt in den USA da besteht, 
das ist ja absolut compliant mit Artikel 
47 der Grundrechte-Charta und ein or- 
dentlicher Gerichtsprozess” - wo du 
ja nicht mal als Partei weißt, was ent- 
schieden worden ist oder sonst was. 
Und gleichzeitig sagen wir aber, in Un- 
garn und Polen haben wir Riesenprob- 
leme mit der Rechtsstaatlichkeit nach 
Artikel 47. Das kriegst du ja nicht unter 
einen Hut. Und das wird auch für den 
EuGH schwierig sein. Selbst wenn der 
EuGH fünfneue Richter dort hat, die das 
alles anders sehen, wird es sehr schwie- 
rig sein zu sagen „Naja, ein Nichtgericht 
in den USA ist compliant mit Artikel 47, 
aber Polen und Ungarn sind es absolut 
nicht.” 

Zum Schluss noch ein paar Worte zu 
„neu“: noyb hat ja auch insgesamt 800 
Verfahren angestrengt (siehe gdprhub. 
eu) wo Entscheidungen und Urteile zu 
den verschiedenen Artikeln der DSGVO 
gesucht werden können. 
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Wobei sonst könnten Mitglieder der 
DVD von noyb noch Nutzen ziehen 
oder vielleicht auch selbst beitragen? 


Ja, ich glaube, die Informationssei- 
te, die wir hauptsächlich haben, ist 
gdprhub.eu‘, die für Professionisten 
interessant ist, wo wir einfach die Ur- 
teile zusammenfassen. Dann hat man 
zumindest eine Idee, was global oder 
europäisch entschieden wird. Der News- 
letter dazu, der das zusammenfasst, ist 
GDPR Today. Wo wir jetzt mehr machen, 
ist, dass wir auch in Richtung Kom- 
mentar online gehen und probieren das 
Know-how weiter zu stärken. Weil wir 
in vielen Bereichen - also der klassi- 
sche Leser von euch ist vielleicht schon 
sehr tief im Thema drinnen - sehr viele 
Entscheidungsträger in irgendwelchen 
Unternehmen haben, die eigentlich 
nicht wirklich wissen, was in der DSGVO 
drinnen steht. Die haben halt für oft viel 
Geld irgendeine schnelle Zertifizierung 
gemacht, aber man merkt dann sehr 
schnell, dass eigentlich das Verständnis 
nicht tief daist. Und ich glaube, da gibt 
es noch sehr viel Raum, dass man was 
tut. Das ist das eine. Und andererseits 
ist bei uns generell immer die Möglich- 
keit, dass man sich als Mitglied enga- 
giert, hauptsächlich finanziell. 

Aber auch was bei uns recht häufig ist 
oder gewollt ist, ist, dass man z.B. Tipp- 
geber ist, aufetwas hinweist, wo ein Pro- 
blem ist, was wir uns anschauen können. 
Da ist es auch für uns immer gut, wenn 


Max Schrems bei einer DVD-Veranstaltung 
2012 im Europa-Parlament in Brüssel 


Bild: Frans Valenta 


DANA ® Datenschutz Nachrichten 2/2023 


man einen qualifizierten Input hat, weil 
es ja oft strukturelle Probleme gibt, zum 
Beispiel bei Auftragsverarbeitern, die 
ganz viele Verantwortliche bedienen. 
Also wenn einfach oft hunderte Verant- 
wortliche das gleiche Problem haben, 
aber keiner einzeln was tut, dann ist es 
für uns auch teilweise interessant, dass 
wir dann zum Beispiel gegen den Dienst- 
leister vorgehen, wenn wir die Informa- 
tionen erst mal überhaupt dazu haben. 
Also gerade solche Sachen sind eigent- 
lich immer interessant. 


Vielen Dank für das Gespräch. 


Anmerkung: Nach dem Gespräch ent- 
schied der EuGH in mehreren Fällen: In 
dem im Interview erwähnten Fall zur Ein- 
schätzung der politischen Haltung von 
Kunden der österreichischen Post ent- 
schied der EuGH’, dass zwar ein Verstoß 
gegen die DSGVO nicht automatisch einen 
Schadensersatz begründet, dass es aber 
andererseits keine Erheblichkeitsschwelle 
oder Bagatellgrenze gibt. 

In einem anderen Fall? wurde entschie- 
den, dass der Auskunftsanspruch der 
Betroffenen die vollständige Kopie der 
Unterlagen umfasst, die der Verantwort- 
liche hält. 


1 https://noyb.eu/de. 


2 Leitlinien 2/2019 zur Verarbeitung 
personenbezogener Daten gemäß 
Artikel 6 Absatz 1 Buchstabe b DSGVO 
im Zusammenhang mit der Bereitstel- 


lung von Online-Diensten für betroffene 
Personen; https://edpb.europa.eu/our- 
work-tools/our-documents/qguidelines/ 
guidelines-22019-processing-personal- 
data-under-article-61b_de. 


Verbindliche Entscheidungen des EDSA 
in den von der irischen DSA eingereich- 
ten Streitigkeiten zu Facebook, Whats- 
App und Instagram vom 5. Dezember 
2022 u.a.; https://edpb.europa.eu/ 
our-work-tools/consistency-findings/ 
binding-decisions_de. 


Datenschutz-Grundverordnung - Ver- 
fahrensvorschriften für die Durch- 
setzung; https://ec.europa.eu/info/ 
law/better-regulation/have-your-say/ 
initiatives/13745-Further-specifying- 
procedural-rules-relating-to-the- 
enforcement-of-the-General-Data- 
Protection-Regulation_de. 


73 Rückmeldungen; https://ec.europa. 
eu/info/law/better-regulation/ 
have-your-say/initiatives/13745- 
Further-specifying-procedural-rules- 
relating-to-the-enforcement-of-the- 
General-Data-Protection-Regulation/ 
feedback_de?p_id=31874182. 


https://gdprhub.eu/index. 
php?title=Welcome_to_GDPRhub. 


Urteil des Gerichtshofs in der Rechts- 
sache C-300/21 - Österreichische Post 
(Immaterieller Schaden im Zusammen- 
hang mit der Verarbeitung personenbe- 
zogener Daten); https://curia.europa. 
eu/jems/upload/docs/application/ 
pdf/2023-05/cp230072de.pdf. 


Urteil des Gerichtshofs in der Rechtssache 
C-487/21 - Österreichische Datenschutz- 
behörde und CRIF; https://curia.europa. 
eu/jems/upload/docs/application/ 
pdf/2023-05/cp230071de.pdf. 
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Axel Freiherr von dem Bussche, Alexander Schmalenberger 


Ausgewählte Rechtsetzungsinitiativen der Europäischen 
Union im Zeitalter der digitalen Revolution: Chancen, 
Herausforderungen und offene Fragen des Datenschutzes 


Einleitung 


Die digitale Revolution hat tiefgrei- 
fende Veränderungen in unserer Gesell- 
schaft bewirkt und wird auch in Zukunft 
eine bedeutende Rolle spielen. Die Eu- 
ropäische Union (EU) hat verschiedene 
legislative und nicht-legislative Initia- 
tiven und Instrumente entwickelt, um 
angemessen auf diese digitale Revolu- 
tion zu reagieren.' Diese Maßnahmen 
betreffen die öffentliche Verwaltung, 
die Wirtschaft und die Bürger und zie- 
len darauf ab Kompetenzen aufzubauen 
und einen Rechtsrahmen für eine ge- 
sunde digitale Entwicklung zu schaffen. 
Dieser Fachbeitrag konzentriert sich auf 
die aus Sicht der Autoren praktisch rele- 
vantesten Fragen und legt den Schwer- 
punkt auf die Regelungen zur Datenver- 
arbeitung und deren Auswirkungen auf 
das Recht auf informationelle Selbstbe- 
stimmung. Dazu sollen im ersten Teil die 
wichtigsten Gesetze und ihre Beziehun- 
gen zum Datenschutz betrachtet wer- 
den. Allen Regelungen ist gemein, dass 
die Datenschutz-Grundverordnung (DS- 
GVO) „unberührt“ bleiben soll - ob das 
stimmt, wird im zweiten Teil behandelt. 
Diesem folgt ein Fazit. 


Die Gesetze 


Im folgenden Abschnitt analysieren 
wir verschiedene rechtliche Regelungen 
zur Datenverwendung. Dazu gehören der 
Digital Services Act, der Digital Markets 
Act, der Data Act, das Data Governance- 
Gesetz, der European Health Data Space 
und der Artificial Intelligence Act. Diese 
Gesetze begrenzen einerseits die Daten- 
nutzung großer Unternehmen. Anderer- 
seits fördern sie die Datenfreigabe, um 
Innovation und Wirtschaftswachstum zu 
stimulieren. Dabei gilt es ein Gleichge- 
wicht zwischen Datenschutz und Daten- 
ökonomie zu finden. 
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Der Digital Services Act (DSA) moder- 
nisiert die Regelungen für Online-Platt- 
formen und Intermediäre, einschließlich 
derer, die außerhalb der EU sitzen, aber 
dort tätig sind. Er betont die Pflichten in 
Bezug auf Transparenz, Rechenschaft, 
Zusammenarbeit mit Behörden und 
Schutz vor illegalen Inhalten. Er schreibt 
fest, dass Plattformen zur Verantwortung 
gezogen werden können, wenn sie perso- 
nenbezogene Daten verarbeiten und dass 
Nutzer das Recht auf Beschwerdemecha- 
nismen und aufZugang zuInformationen 
haben. Der DSA verstärkt die DSGVO und 
setzt Grenzen bei der Datenverwertung: 
Art. 26 und 28 DSA setzen der Nutzung 
von personenbezogenen Daten bei der 
Werbung engere Grenzen, als dies unter 
der DSGVO allein bisher der Fall gewesen 
ist. Große Plattformen wiederum müssen 
datensparsame Empfehlungssysteme an- 
bieten (Art. 38 DSA). 

Der Digital Markets Act (DMA) zielt 
darauf ab faire Bedingungen in digi- 
talen Märkten zu schaffen und miss- 
bräuchliche Praktiken von dominie- 
renden Plattformen, den sogenannten 
„Gatekeepern“, zu verhindern. Der DMA 
verbietet Gatekeepern personenbezoge- 
ne Daten ohne Zustimmung der Nutzer 
nach Art. 7 DSGVO für Werbezwecke zu 
verarbeiten oder zwischen verschie- 
denen Plattformdiensten zu teilen. Er 
gewährt den Nutzern das Recht auf Da- 
tenübertragbarkeit und Schutz vor un- 
fairen Bedingungen. 

Das Data Governance Act (DGA) regelt 
die Verfügbarkeit, Nutzung und Weiter- 
gabe von Daten in der EU, insbesondere 
von solchen, die nicht unter die DSGVO 
fallen. Es legt Standards für Qualität, 
Sicherheit und Vertrauen bei der Da- 
tenverarbeitung fest. Nutzer haben 
das Recht auf Zugang zu hochwertigen 
Daten und können an Initiativen zur 
Datenfreigabe teilnehmen, wobei ihre 
Interessen geschützt bleiben. 


Der vorgeschlagene Data Act ist eine 
Erweiterung des DGA und zielt darauf 
ab die Verfügbarkeit und Weitergabe 
von Daten in der EU zu verbessern, vor 
allem von Daten, die aus industriellen 
und kommerziellen Aktivitäten stam- 
men oder für das Gemeinwohl relevant 
sind. Er legt Regeln für den Zugang und 
die Nutzung von ausgetauschten Daten 
fest und gewährt den Nutzern das Recht 
auf Teilnahme an Datenkooperationen. 
Es ist aber absehbar, dass auf Grundlage 
des Data Act - insbesondere im Kontext 
von IoT - auch personenbezogene Daten 
getauscht werden könnten. 

Der Data Act soll nach seiner Konzep- 
tion allerdings nur dann gelten, wenn 
es keine spezielleren Regelungen gibt. 
Etwa solche, die Datenräume für be- 
stimmte Anwendungsfälle regeln. Ein 
Beispiel ist der European Health Data 
Space (EHDS), der derzeit im Gesetz- 
gebungsverfahren behandelt wird. Der 
EHDS soll einen gemeinsamen Raum für 
Gesundheitsdaten in Europa schaffen, 
um die Zusammenarbeit und Innovation 
im Gesundheitswesen zu fördern. Erlegt 
Regeln für die Verarbeitung, den Schutz 
und die Nutzung von Gesundheitsdaten 
fest und gewährt den Nutzern das Recht 
auf Zugang zu Gesundheitsdaten. 

Der Artificial Intelligence Act (AIA) 
soll einen einheitlichen Rechtsrahmen 
für künstliche Intelligenz in der EU 
schaffen. Tatsächlich aber enthält der 
Vorschlag z.B. in Art. 10 Abs. 5 AIA ei- 
nen Erlaubnistatbestand zur Verarbei- 
tung sensibler Daten im Sinn des Art. 9 
DSGVO, um Verzerrungen (Bias) in 
Hochrisikosystemen zu erkennen und 
zu beheben. Im Umkehrschluss könnte 
die Verarbeitung dieser Daten in allen 
anderen Fällen damit verboten sein. 
Aber müssten sie nicht vorher gespei- 
chert werden? Für Reallabore (Sandbo- 
xes, Art. 54 AIA) wiederum wird die Ver- 
arbeitung von Daten erlaubt. Damitliegt 
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ein Erlaubnistatbestand vor. Vermutlich 
wird das Europäische Parlament im Rah- 
men des Trilogs vorschlagen, dass für 
Hochrisiko-Anwendungen dann eine 
Zusammenfassung der Datenschutz- 
Folgenabschätzung veröffentlicht wer- 
den muss.? 


Das ungeklärte Verhältnis zur DSGVO 


Die hier vorgeschlagenen Rechtsakte 
enthalten Klauseln, die die Anwend- 
barkeit der DSGVO auf die Verarbeitung 
personenbezogener Daten im Zusam- 
menhang mit den jeweiligen Rege- 
lungsbereichen bestätigen - die DSGVO 
bleibt „unberührt“ - jedoch bei näherer 
Betrachtung einschränken oder modi- 
fizieren. Diese Klauseln sind in Bezug 
auf Klarheit, Kohärenz und Konsistenz 
unterschiedlich formuliert. Dies kann 
zu Rechtsunsicherheit, Inkohärenz und 
möglichen Konflikten zwischen den ver- 
schiedenen Rechtsakten führen. 

Der DSA enthält eine Unberührtheits- 
klausel (Art. 2 Abs. 4 DSA), die besagt, 
dass die Verordnung die Anwendbarkeit 
der Rechtsvorschriften der Union über 
den Schutz personenbezogener Daten, 
insbesondere der DSGVO und der ePri- 
vacy-Richtlinie, nicht berührt. Damit 
nicht vereinbar istjedoch, dass der DSA 
Online-Plattformen und Hostingdien- 
steanbietern bestimmte Pflichten aufer- 
legt, die die Verarbeitung personenbe- 
zogener Daten von Nutzern und Dritten 
erfordern ohne eine klare Rechtsgrund- 
lage oder Garantien dafür zu bieten, 
und dass der DSA mit dem Grundsatz der 
Datenminimierung und dem Recht auf 
Löschung gemäß der DSGVO kollidieren 
könnte. So verlangt Art 23 DSA, dass 
Plattformbetreiber Maßnahmen gegen 
die missbräuchliche Verwendung ihrer 
Dienste oder der Melde- und Abhilfe- 
verfahren vorsehen - dazu wird es aber 
erforderlich sein die notwendigen per- 
sonenbezogenen Daten zu erheben und 
zu speichern. 

Der DMA enthält ebenso eine Unbe- 
rührtheitsklausel (Art. 5 Abs. 2 DMA), 
die besagt, dass die Verordnung unbe- 
schadet der Bestimmungen gilt, diesich 
aus anderen Rechtsakten der Union er- 
geben, insbesondere der DSGVO. Nichts- 
destotrotz sieht der DMA z. B. in Art. 5 
Abs. 2 bestimmte Verhaltenspflichten 
für Gatekeeper vor, die die Einwilligung 


DANA ® Datenschutz Nachrichten 2/2023 


der Nutzer in die Verarbeitung perso- 
nenbezogener Daten voraussetzen, 
ohne andere mögliche Rechtsgrundla- 
gen zu berücksichtigen. Unklar ist, ob 
diese damit ausgeschlossen sind. Wenig 
hilfreich ist auch, dass der Art. 7 Abs. 8 
DMA den Begriff „unbedingt erforder- 
lich” verwendet, der in der DSGVO nicht 
definiert ist. 

Der DGA enthält in Art. 1 Abs. 3 DGA 
eine Geltungsklausel, eine Vorrangklau- 
sel, eine Rechtsgrundlageklausel und 
eine Unberührtheitsklausel, die alle be- 
tonen, dass die DSGVO für alle personen- 
bezogenen Daten gilt, die im Rahmen 
des DGA verarbeitet werden, und dass 
die DSGVO im Falle eines Konflikts zwi- 
schen dem DGA und dem Datenschutz- 
recht Vorrang hat. Vor diesem Hinter- 
grund ist kritikwürdig, dass der DGA 
eine allgemeine Meldepflicht für die 
Verarbeitung personenbezogener Daten 
durch Datenlieferanten, Datenmittler 
und Datenverarbeiter einführt, was im 
Widerspruch zur DSGVO steht. Dort gibt 
es keine Meldepflichten. Darüber hinaus 
stellt sich die Frage der Vereinbarkeit 
mit dem Zweckbindungsgrundsatz, den 
Rechtsgrundlagen und der Weiterver- 
arbeitung der DSGVO, insbesondere im 
Hinblick auf die Bereitstellung von Da- 
ten für gemeinnützige Zwecke und die 
Weitergabe von Daten an Dritte. 

Der AIA sollte nach dem Willen der 
Kommission in der Begründung des 
Entwurfs die DSGVO unberührt lassen 
und enthält voraussichtlich eine Ergän- 
zungsklausel, die besagt, dass die Ver- 
ordnung die DSGVO unberührt lässt und 
durch harmonisierte Vorschriften für 
bestimmte Hochrisiko-KI-Systeme und 
biometrische Fernidentifizierungssys- 
teme ergänzt wird. Damit würde der AIA 
ein datenschutzrechtliches Verbot für 
die Verarbeitung sensibler Daten durch 
Anbieter von Hochrisiko-KI-Systemen 
schaffen, das nur unter bestimmten 
Voraussetzungen aufgehoben werden 
kann. Darüber hinaus könnte der AIA 
eine Erlaubnisnorm nach Art. 6 Abs. 4 
DSGVO darstellen, die die Verarbeitung 
personenbezogener Daten zu anderen 
Zwecken als denen, zu denen sie er- 
hoben wurden, erlaubt; nach dem vor- 
aussichtlichen Willen des Europäischen 
Parlaments insbesondere auch für den 
Test neuer Anwendungen.’ Diese Rege- 
lungen werfen Fragen nach der Verein- 


barkeit mit den Grundsätzen der Zweck- 
bindung und der Rechtsgrundlage der 
DSGVO auf. 

Der Data Actenthältin der Fassung der 
Verhandlungsmandate‘ eine Unberührt- 
heitsklausel (Art. 1 Abs. 3 Data Act), die 
besagt, dass die Verordnung die Rechts- 
vorschriften der Union über den Schutz 
personenbezogener Daten, den Schutz 
der Privatsphäre, die Vertraulichkeit 
der Kommunikation und die Integri- 
tät der Endgeräte unberührt lässt. Dies 
berücksichtigt aber nicht, dass der DA 
bestimmte Rechte und Pflichten für 
Dateninhaber, Datennutzer und Daten- 
mittler vorsieht, die die Verarbeitung 
personenbezogener Daten zum Zwecke 
der Datenportabilität, der Datenüber- 
tragbarkeit, des Datenzugangs und der 
Datennutzung beinhalten, ohne dass 
eine ausreichende Abstimmung mit den 
entsprechenden Bestimmungen der DS- 
GVO gewährleistet ist. 

Der geplante EHDS? enthält in Art. 1 
Abs. 3, 4 EHDS eine Unberührtheits- 
klausel, die besagt, dass die Verord- 
nung andere Rechtsakte der Union über 
den Zugang zu elektronischen Gesund- 
heitsdaten, deren Austausch oder Wei- 
terverwendung sowie die Anforderun- 
gen an die Verarbeitung elektronischer 
Gesundheitsdaten, insbesondere die 
Datenschutz-Grundverordnung, unbe- 
rührt lässt. Auch hier wiederholt sich 
der Befund, dass der EHDS bestimmte 
Mechanismen und Verfahren für die Ver- 
arbeitung von Gesundheitsdaten für die 
Zwecke der grenzüberschreitenden Ge- 
sundheitsversorgung, der öffentlichen 
Gesundheit, der Forschung und der In- 
novation vorsieht ohne eine klare Ab- 
grenzung zu bestehenden oder geplan- 
ten Rechtsrahmen für die Verarbeitung 
solcher Daten vorzunehmen. 


Fazit 


Die EU-Digitalpolitik strebt einen aus- 
gewogenen Rechtsrahmen an, der Da- 
tenschutz sicherstellt und Innovation 
fördert. Ihre Stärken liegen in der Har- 
monisierung von Rechtsrahmen und der 
Schaffung fairer Bedingungen für digi- 
tale Märkte. Datenschutz und Privat- 
sphäre sind Kernpunkte, unterstrichen 
durch die DSGVO. Herausforderungen 
sind die Komplexität der Initiativen und 
die Notwendigkeit neue Technologien 
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wie KI zu regulieren. Internationale Zu- 
sammenarbeit ist unerlässlich, um den 
globalen digitalen Raum zu regeln. 

Zukünftige Schwerpunkte sollten die 
Stärkung der Zusammenarbeit zwischen 
den Mitgliedsstaaten und die Sensibi- 
lisierung der Bürger für ihre digitalen 
Rechte sein. Es ist wichtig Transparenz 
und Rechenschaftspflicht von Unter- 
nehmen zu fördern und die Auswirkun- 
gen der digitalen Revolution auf die 
Demokratie zu erforschen. Trotz bereits 
vorgeschlagener Rechtsakte bleibt die 
Anpassung an die digitale Gesellschaft 
eine Herausforderung. 

Eine kontinuierliche Überprüfung, 
Anpassung und Koordination der Rechts- 
vorschriften sind notwendig, um die 
Wirksamkeit der EU-Digitalpolitik zu 
gewährleisten. Dabei sollte auf Verhält- 
nismäßigkeit, Effizienz und Transparenz 
geachtet werden. Die EU sollte eine ak- 
tive Rolle in der internationalen Zusam- 
menarbeit spielen und Verstöße gegen 
digitale Rechtsvorschriften wirksam 
ahnden. Die Förderung von Forschung 
und Innovation in digitalen Technologi- 
en ist ebenfalls von großer Bedeutung. 

Bildungs- und Sensibilisierungsmaß- 
nahmen können dazu beitragen, dass 


Thilo Weichert 


Bürger ihre digitalen Rechte besser ver- 
stehen und schützen können. Eine enge 
Zusammenarbeit zwischen Regierungen, 
Unternehmen, Zivilgesellschaft, For- 
schungseinrichtungen und Verbraucher- 
schutzorganisationen ist notwendig, um 
einen ausgewogenen Rechtsrahmen zu 
schaffen. Durchsetzung von digitalen 
Rechtsvorschriften ist entscheidend für 
das Vertrauen der Bürger. 

Die EU sollte die Förderung von For- 
schung und Innovation im Bereich der 
digitalen Technologien vorantreiben 
und dabei ethische Standards fördern. 
Eine globale Führungsrolle der EU bei 
der Festlegung internationaler Stan- 
dards für Datenschutz und digitale 
Rechte ist von entscheidender Bedeu- 
tung. Die Schaffung eines umfassenden 
und ausgewogenen Rechtsrahmens für 
die digitale Revolution bleibt eine kom- 
plexe und fortlaufende Aufgabe. Es ist 
wichtig, dass die Schaffung eines wirk- 
samen Rechtsrahmens von einer breiten 
Beteiligung aller relevanten Akteure be- 
gleitet wird. 


1 Vgl. die Studie Identification and assess- 
ment of existing and draft EU legislation 
in the digital field von Codogne, Liva, 
Rodriguez de las Heras Ballel, EPRS 


2022, https://www.europarl.europa.eu/ 
RegData/etudes/STUD/2022/703345/ 
IPOL_STU(2022)703345_EN.pdf, die 
Studie ist freilich Stand Januar 2022. 


2 Vgl. DRAFT Compromise Amendments on 
the Draft Report Proposal for aregulation 
ofthe European Parliament and ofthe 
Council on harmonised rules on Artificial 
Intelligence (Artificial Intelligence Act) 
and amending certain Union Legislative 
Acts (COM(2021)0206 - C9 0146/2021 - 
2021/0106(COD)), 
https://www.europarl.europa.eu/ 
meetdocs/2014_2019/plmrep/ 
COMMITTEES/CJ40/DV/2023/05-11/ 
ConsolidatedCA_IMCOLIBE_AI_ACT 
EN.pdf. 


3 Ebd. 


4 Proposal for a Regulation ofthe Europe- 
an Parliament and ofthe Council on har- 
monised rules on fair access to and use of 
data (Data Act), Version for Trilogue on 
29 March, 2023, https://www.europarl. 
europa.eu/RegData/publications/ 
trilogue/2022/0047/NEGO_CT(2022) 
0047(2023-03-28)_XL.pdf. 


5 Proposal for a Regulation ofthe Europe- 
an Parliament and ofthe Council on the 
European Health Data Space, https:// 
eur-lex.europa.eu/legal-content/EN/ 
TXT/ ?uri=celex%3A52022PC0197. 


Überlegungen zu einer datenschutzkonformen 
europäischen Forschungsregulierung 


I Vorbemerkungen 


Konsequent verfolgen die EU-Insti- 
tutionen die Gesetzgebungsakte zur 
Umsetzung ihrer Digitalstrategie.' 
Selbst Insidern schwirrt der Kopf an- 
gesichts der Vorschläge zu digitalen 
Märkten, Diensten, Datenräumen, zu 
sog. künstlicher Intelligenz, Daten- 
treuhändern und Sekundärnutzun- 
gen. Das Ziel ist weltweit bei der Digi- 
talisierung an die Spitze zu gelangen. 
Angesichts des Umstands, dass die 
europäische Digitalwirtschaft in vieler 
Hinsicht von den USA und China abge- 
hängt ist, drängt sich ein Spruch Wal- 
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ter Ulbrichts aus dem Jahr 1957 auf, 
der mit der Wirtschaft der DDR die des 
Westens „überholen ohne einzuholen” 
wollte. Ulbricht scheiterte damit. Ob 
die EU mit ihrer Offensive erfolgreich 
sein wird, hängt von Vielem ab: Einige 
EU-Mitgliedsstaaten können mit ihrer 
Digital-Infrastruktur und -Wirtschaft 
mit den IT-Zentren in den USA und Chi- 
na mithalten. Deutschland war bisher 
Mittelmaß. Die rot-grün-gelbe Bun- 
desregierung hat trotz vollmundiger 
Ankündigungen? bisher wenig Vorzeig- 
bares auf den Weg gebracht. Die Abhän- 
gigkeit Europas von US-amerikanischer 
Software und chinesischer Hardware ist 


gravierend; eine wirkliche Trendwende 
ist noch nicht erkennbar. 

Doch auch die globalen Spitzenrei- 
ter schwächeln: US-IT-Unternehmen 
haben jüngst massenhaft Mitarbeiten- 
de entlassen, als wäre der IT-Hype am 
Ende. Zugleich wird aber mit ChatGPT 
die nächste IT-Sau durchs globale di- 
gitale Dorf gejagt, ohne Rücksicht auf 
die gesellschaftlichen Konsequenzen. 
Elon Musk führt mit halsbrecherischer 
Genialität bei Twitter vor, wie ein Pri- 
vatkapitalist unsere demokratischen, 
freiheitlichen und rechtsstaatlichen 
Werte in Frage zu stellen in der Lage 
ist. Die chinesischen IT-Unternehmen 
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haben ihren Knowhow-Diebstahl vom 
Westen bei gleichzeitiger Abschottung 
soweit perfektioniert, dass sie tech- 
nologisch zu den Unternehmen des 
Silicon Valley aufgeschlossen haben. 
Der von der Kommunistischen Partei 
staatlich gelenkte Digital-Kapitalismus 
Chinas könnte aber auch einen Dämp- 
fer bekommen, wenn der Westen die 
Risiken erkennt, die mit seiner China- 
Kooperation für Demokratie und Frei- 
heit wie auch für die eigene Wirtschaft 
verbunden sind, und daraus Konse- 
quenzen zieht. 

Es ist daher nicht abwegig, wenn Eu- 
ropain Sachen demokratischer und bür- 
gerrechtlicher IT überholen will ohne 
zuvor die Fehler der USA und Chinas ge- 
macht zu haben: Die EU-Digitalstrategie 
erfolgt in einem demokratischen Pro- 
zess. Sie verfolgt zumindest in Ansätzen 
das Ziel „digitaler Souveränität”, also 
den Abbau der Abhängigkeit von den 
USA und China. Mit der Datenschutz- 
Grundverordnung (DSGVO) hat Europa 
das globale Vorbild für digitalen Grund- 
rechtsschutz entwickelt und als globa- 
len „best standard” etabliert. Geht die 
EU einen „dritten Weg“ mit ihrer Re- 
gulierung weiter, so kann sie nicht nur 
mehr Autarkie bei gleichzeitiger globa- 
ler Vernetzung erreichen, sondern auch 
eine globale grundrechtsorientierte 
Alternative zum privatwirtschaftlichen 
oder staatlichen Überwachungskapita- 
lismus entwickeln.’ 


II Digitalstrategische EU-Regulie- 
rungen 


Mit der Datenschutz-Grundverord- 
nung (DSGVO) hat die EU in Sachen di- 
gitalem Grundrechtsschutz vorgelegt. 
Das Gesetz zu künstlicher Intelligenz 
(KI-Gesetz, AI-Act)‘* zielt auf Gemein- 
nützigkeit und Grundrechtsverträg- 
lichkeit, gepaart mit dem Anspruch der 
wirtschaftlichen Entfaltung des Poten- 
zials von KI. Der Data Act (DA)? und der 
schon verabschiedete Data Governance 
Act (DGA)° sowie die geplanten neun 
Datenräume verfolgen ebenso gemein- 
nützige Anliegen. Der European Health 
Data Space (EHDS - Europäischer Ge- 
sundheitsdatenraum)’ ist der erste am- 
bitionierte spezifische Regelungsrah- 
men für die Primär- und Sekundärnut- 
zung digitaler Daten. 
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Das Grundkonzept von DA, DGA und 
EHDS besteht hinsichtlich der Sekun- 
därnutzung von Daten darin, dass der 
Dateninhaber, was wohl dem daten- 
schutzrechtlichen Verantwortlichen 
entsprechen dürfte, verpflichtet wird 
bestimmte gemeinnützliche Daten zur 
Verfügung zu stellen (Art. 5 Abs. 1,8 ff., 
12 DA-E, Art. 3 Abs. 1 DGA, Art. 4, 33 
Abs. 1 EHDS-E). Den Zugang hierzu 
können Nutzer von datengenerieren- 
den Produkten einfordern (Art. 3 DA-E, 
Art. 3 EHDS-E). Vor allem wird Daten- 
empfängern die Sekundärnutzung und 
damit die Weiterverwendung von Da- 
ten auf Antrag ermöglicht. Über den 
Zugang entscheiden neben den Da- 
teninhabern nationale Zugangsstellen 
(Art. 36 ff. EHDS-E, Art. 7, 12 DGA: 
zuständige Stellen/Behörden). Der Da- 
tenaustausch erfolgt über spezifische 
Netzwerke der Datenräume, über An- 
bieter von Diensten für die gemeinsa- 
me Datennutzung (Art. 9 ff. DGA) und/ 
oder über Verarbeitungsdienstleister 
(Art. 17 EHDS-E). Der Austausch, die 
Vermittlung und die Zusammenführung 
von Daten soll durch Interoperabilitäts- 
standards erleichtert werden (Art. 28 ff. 
DA-E, Art. 6, 23 EHDS-E). Eine zentrale 
Dateninfrastruktur soll den Überblick 
über verfügbare Daten und die Koor- 
dination von Prozessen gewährleisten 
(Art. 8 DGA; Art. 37, 52, 59 EHDS-E). 
Die Prozesse und die Organisation sind 
einer hoheitlichen Aufsicht unterwor- 
fen. Im Folgenden wird auf die jewei- 
ligen Kommissionsentwürfe Bezug ge- 
nommen bzw. beim DGA auf das schon 
verabschiedete, am 24.09.2023 in Kraft 
tretende Gesetz. Stellungnahmen und 
Ergänzungs- bzw. Gegenentwürfe von 
EU-Rat und Parlament bleiben hier im 
Interesse der Übersichtlichkeit unbe- 
rücksichtigt. 


III Der Paradigmenwechsel 


Sämtliche Regulierungsvorschläge 
differenzieren wenig zwischen gemein- 
nützigen und (auch) privatnützigen 
Sekundärnutzungen. Was Gemeinnüt- 
zigkeit ist, bleibt vage. So stehen in 
Art. 34 Abs. 1 EHDS-E die „wissenschaft- 
liche Forschung im Bereich des Gesund- 
heits- und Pflegesektors” ohne Unter- 
scheidung neben „Entwicklungs- und 
Innovationstätigkeiten für Produkte 


und Dienste” oder „Training, Erprobung 
und Bewertung von Algorithmen“. Für 
all diese Zwecke ist nicht nur eine Nut- 
zungsmöglichkeit vorgesehen, sondern 
auch eine Bereitstellungspflicht der 
Dateninhaber (Art. 33 Abs. 1 EHDS-E). 
Hinter sämtlichen vorgesehenen Zwe- 
cken steht zwar irgendwie auch ein 
öffentliches Interesse, doch die Gren- 
zen zwischen öffentlichen und priva- 
ten Nutzungsinteressen sind fließend. 
So gerät der mit der DSGVO intendierte 
Grundrechtsschutz in Gefahr - beim 
EHDS im hochsensitiven Bereich der 
Verarbeitung von Gesundheitsdaten. 

Der Paradigmenwechsel vom Vorrang 
des individuellen Grundrechtsschutzes 
hin zur Nutzungserlaubnis bei Daten ge- 
nerell wie bei Gesundheitsdaten speziell 
ist angesichts der Notwendigkeiten und 
Potenziale im öffentlichen Interesse 
nicht zu verhindern und im Grundsatz 
zu begrüßen. Die Daten können die 
Grundlage für die Bewältigung drin- 
gender Aufgaben sein: Arbeitsschutz 
und Gesundheitsprävention, politische, 
ökologische und ökonomische Planung, 
Aus- und Fortbildung, Entwicklung und 
Bereitstellung von lebensnotwendigen 
Produkten und Diensten. Die DSGVO lie- 
fert für diese Zwecke allgemeine Rechts- 
grundlagen. Sie erlaubt die Verarbei- 
tung für berechtigte Interessen, soweit 
Grundrechtsinteressen nicht überwie- 
gen (Art.6Abs. 1lit. f), und wenn esum 
denSchutzlebenswichtiger (Art.6Abs.1 
lit. d) oder sonstiger öffentlicher Inter- 
essen (Art. 6 Abs. 1lit. e) geht. Die Be- 
reitstellung personenbezogener Daten 
für gemeinnützige Zwecke ist in unserer 
digitalisierten Gesellschaft nicht nur 
naheliegend, sondern zwingend, wenn 
angesichts der Risiken für Gesundheit, 
Umwelt, Klima, Ernährung, Unterbrin- 
gung, soziale Absicherung Vorkehrun- 
gen und Schutzmaßnahmen getroffen 
werden sollen. Zumeist sind hierfür 
nur aggregierte Ergebnisse notwendig. 
Diese nicht mehr personenbezogenen 
Ergebnisse sind aber oft nur über perso- 
nenbeziehbare Daten zu erlangen. 

Die rechtlichen Vorgaben für den 
Ausgleich zwischen individuellem 
Schutzinteresse und Nutzungsinteres- 
se finden wir in der DSGVO in Form von 
Garantien und Maßnahmen: Pseudony- 
misierung, Datensparsamkeit, Zweck- 
bindung, Verschlüsselung, technisch- 
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organisatorische Maßnahmen, Folgen- 
abschätzung, Transparenz, Betroffe- 
nenrechte. Diese Datenschutzmaßnah- 
men bleiben in der DSGVO allgemein. Sie 
müssen gemäß den jeweiligen Zwecken 
und Risiken unterschiedlich ausgestal- 
tet werden, um adäquaten Grundrechts- 
schutz zu gewährleisten. Die neuen EU- 
Digitalregelungen müssten insofern die 
DSGVO präzisieren. Stattdessen erfolgt 
sehr weitgehend nur eine pauschale 
Verweisung auf die DSGVO und die dort 
vorgesehenen Instrumente oder deren 
inhaltliche Wiederholung (Art. 1 Abs. 3, 
31 Abs. 2 DA-E, Art. 33 DGA, z.B. Art. 3 
Abs. 3, 7,9, 21 EHDS-E). 


IV Forschungsregelungen 


Die DSGVO vollzieht teilweise den 
Paradigmenwechsel vom Schutzkon- 
zept zur Nutzungserlaubnis, indem 
sie die Nutzung „für im öffentlichen 
Interesse liegende Archivzwecke, für 
wissenschaftliche oder historische For- 
schungszwecke oder für statistische 
Zwecke” privilegiert, soweit hinrei- 
chende Schutzvorkehrungen gemäß 
Art. 89 Abs. 1 getroffen werden (Art. 5 
Abs. 1lit. b). Auch in Bezug auf die Be- 
troffenenrechte erfolgt unter den glei- 
chen Voraussetzungen eine Privilegie- 
rung (Art. 89 Abs. 2, 3DSGVO). 

Eine Relativierung der eigenen Vorga- 
ben nimmt die DSGVO dadurch vor, dass 
sie den nationalen Gesetzgebern im 
Forschungsbereich über sog. Öffnungs- 
klauseln weite Regelungsspielräume 
überlässt. Dieses Feld hatten die deut- 
schen Gesetzgeber in Bund und Ländern 
lange vor dem Wirksamwerden der DS- 
GVO bestellt. Und sie sahen in der DSGVO 
keinen bzw. wenig Anlass für eine Um- 
setzung des vorgezeichneten Paradig- 
menwechsels: Forschungsdatennutzun- 
gen werden weitgehend von der Betrof- 
feneneinwilligung abhängig gemacht, 
unterliegen oft einer projektbezogenen 
Zweckbindung und sind von weiteren 
komplizierten Verfahrensvorgaben ab- 
hängig. Ein Flickenteppich verschiede- 
ner und sich teilweise widersprechender 
Regelungen macht es institutionen- 
und disziplinübergreifender Forschung 
oft praktisch unmöglich allen rechtli- 
chen Anforderungen zu genügen. Er- 
gebnis sind Forschungsbehinderungen 
und Einschränkungen. Alle Versuche, 
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diesen Zustand auf nationaler Ebene 
zu verbessern, waren erfolglos, nicht 
zuletzt wegen den zwischen Bund- und 
Ländern aufgeteilten Gesetzgebungs- 
kompetenzen.? 

Über eine verbindliche europaweite 
Regelung könnte eine Harmonisierung 
des Forschungsrechts - damit auch in 
Deutschland - erreicht werden. Die EU 
hat sich dieser Aufgabe mit ihren Regu- 
lierungsplänen gestellt, indem sie die 
Sekundärnutzung von Daten und „Da- 
tenaltruismus” (Art. 15 ff. DGA, Art. 40 
EHDS-E) regelt und explizite gesetzliche 
Grundlagen schafft, welche nationale 
Regelungen ersetzen können. Bzgl. des 
Datenaltruismus ist zudem vorgesehen, 
dass Daten auch auf Einwilligungs- 
basis nach einem einheitlichen For- 
mat beschafft werden können (Art. 22 
DGA), was für die Forschung aber keine 
grundlegende Verbesserung bedeutet. 
Es hätte nahegelegen insbesondere 
den von der DSGVO privilegierten For- 
schungsbereich näher zu normieren. 
Doch das ist bisher unterblieben. Zwar 
wirbt die EU für ihr Regelungskonzept 
immer wieder mit Erleichterungen für 
die wissenschaftliche Forschung.’ Doch 
spielt die Forschung tatsächlich in den 
Regelungen keine prominente Rolle und 
wird weitgehend wie andere Zwecke be- 
handelt. 


V Europarechtliche Grundlagen 


Dies ist irritierend, zumal die EU im- 
mer wieder behauptet in besonderem 
Maße die Grundrechte zu wahren. Das 
Trainieren von Algorithmen oder das 
Entwickeln von Produkten und Dienst- 
leistungen kann - allenfalls indirekt 
und abgeleitet - keinen besonderen 
Grundrechtsschutz für sich in Anspruch 
nehmen und ist kaum in der Lage das 
Grundrecht auf Datenschutz, das in 
Art. 8 Grundrechte-Charta (GRCh) ge- 
währleistet wird, zu verdrängen. Art. 13 
GRCh sichert demgegenüber ausdrück- 
lich die Forschungsfreiheit. Dieser Un- 
terschied hinsichtlich der Wertigkeit 
bei der Zweitverwertung von (perso- 
nenbezogenen) Daten muss sich in der 
Gesetzgebung widerspiegeln. 

Die Gesetzgebungsorgane der EU sind 
daher qut beraten ausdrückliche und 
spezifische Forschungsdatennutzungs- 
normen vorzusehen. Gesetzessyste- 


matisch gehören diese Regeln in den 
allgemeinen Data Act (DA), eventuell 
auch in den - „Datenaltriusmus” spe- 
zifizierenden - Data Governance Act 
(DGA) und, soweit spezifische Normen 
für Gesundheitsforschung sinnvoll bzw. 
nötig sind, in den European Health 
Data Space (EHDS). Im Interesse einer 
europaweiten Harmonisierung und der 
Ermöglichung europäischer Forschung 
sollte eine weitgehend direkt anwend- 
bare und abschließende Normierung 
erfolgen, die den nationalen Gesetzge- 
bern nur Spielräume bei der Festlegung 
der Zuständigkeiten und der Spezifizie- 
rung der nationalen Verfahren eröffnet. 

Spezifisches Forschungsrecht enthält 
nur Art. 21 DA-E, der öffentlichen Stel- 
len, die im Rahmen „außergewöhnli- 
cher Notwendigkeiten” von Dateninha- 
bern „Notstandsdaten” erlangt haben, 
die Befugnis erteilt mit diesen forschen 
zu dürfen. 

Teilweise wird die Gesetzgebungs- 
kompetenz der EU im Forschungsbe- 
reich in Frage gestellt. Tatsächlich hat 
die EU z.B. im Gesundheitsbereich ge- 
mäß Art. 168 Vertrag über die Arbeits- 
weise der EU (AEUV) nur eine subsidiäre 
Zuständigkeit. Soweit EU-Regelungen 
in die nationale Organisationshoheit 
eingreifen und nicht der Kooperations- 
und der Harmonisierungsaspekt für den 
Binnenmarkt (Art. 114 AEUV) im Vor- 
dergrund stehen, ist die Kompetenzfra- 
ge relevant. Bezieht sich ein Regelungs- 
ansatz auf Fragen des Datenschutzes 
und erfolgt so eine Konkretisierung der 
DSGVO, so besteht unzweifelhaft gemäß 
Art. 16 AEUV eine Zuständigkeit der EU. 
Zudem hat die EU gemeinsam mit den 
Mitgliedsstaaten gemäß Art. 173 Abs. 1, 
179 AEUV die Pflicht und Aufgabe For- 
schung und technologische Entwick- 
lung zu fördern. 


VI Anforderungen an Datenzugänge 
für die Forschung 


Eine zentrale Aufgabe eines Gesetzes 
ist es zu definieren, was unter dem Be- 
griff „Forschung“ geregelt wird, womit 
zugleich eine Präzisierung des For- 
schungsgrundrechts in Art. 13 GRCh 
einhergeht. Nicht jede erkundende 
Tätigkeit kann den Schutz des Art. 13 
GRCh für sich in Anspruch nehmen, 
schon gar nicht, wenn damit einwilli- 
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gungsfrei Eingriffe in das Grundrecht 
auf Datenschutz legitimiert werden 
sollen. Bisher gibt es hierzu keine 
verbindlichen Festlegungen und auch 
noch keine konsistente Rechtspre- 
chung des Europäischen Gerichtshofes 
(EuGH). Zurückgegriffen werden kann 
und sollte insofern auf die Definition 
des deutschen Bundesverfassungs- 
gerichts. Forschung ist danach ein 
ernsthafter planmäßiger, auf wissen- 
schaftlicher Eigengesetzlichkeit (Me- 
thodik, Systematik, Beweisbedürftig- 
keit, Nachprüfbarkeit, Kritikoffenheit, 
Revisionsbereitschaft) beruhender 
Prozess zum Auffinden von neuen Er- 
kenntnissen, ihrer Deutung und ihrer 
Weitergabe.'° Projekte, die dieser De- 
finition nicht genügen, können kei- 
nen Anspruch auf personenbezogene 
Daten für sich geltend machen, ohne 
dass zuvor von den Betroffenen eine 
ausdrückliche und informierte Einwil- 
ligung eingeholt wurde. 

Eingriffslegitimierend können nur 
Forschungsvorhaben sein, an denen 
ein öffentliches Interesse besteht. Aus- 
schließlich private Interessen an einem 
Projekt können informationelle Eingrif- 
fe bei Betroffenen nicht legitimieren. 
Von der Forschungsprivilegierung nicht 
mit umfasst sein können daher Projekte 
im Bereich der Markt- und Meinungsfor- 
schung oderim Rahmen der Erforschung 
und Weiterentwicklung von Marktpro- 
dukten, an denen kein besonderes öf- 
fentliches Interesse besteht. Das öffent- 
liche Interesse am Forschungsergebnis 
muss ausdrücklich formuliert und fest- 
gestellt sein. Ändert sich im Laufe eines 
Projektes der gemeinwohlorientierte 
Zweck, so ist dies nicht schädlich, doch 
muss dieser erneut klar definiert werden 
und überprüfbar sein.'! 

Die Definition von privilegierter For- 
schung kann nicht von deren Art der 
Finanzierung abhängig gemacht wer- 
den; diese kann öffentlich oder privat 
erfolgen. Es sollte für den Datenzugang 
keine Rolle spielen, ob es sich bei der 
forschenden Einrichtung um eine öffent- 
liche Stelle (z.B. eine Universität oder 
Behörde) handelt oder um ein Privatun- 
ternehmen. Wohl aber muss gewährleis- 
tet sein, dass die Forschung unabhängig 
und ergebnisoffen erfolgt. Reine Auf- 
tragsforschung mit der Zielsetzung der 
Bestätigung vorgegebener Resultate ist 
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ebenso auszuschließen wie die direktive 
externe Festlegung der wissenschaftli- 
chen Abläufe und Ergebnisse. 

Wissenschaftliche Forschung setzt 
den Einsatz wissenschaftlicher Metho- 
den voraus, die geeignet sind einer neu- 
en „Wahrheit“ möglichst nahe zu kom- 
men. Es gibt nicht „eine“ Methode; die 
Methoden zur Erlangung wissenschaft- 
licher Erkenntnis stehen in einem plu- 
ralen Wettbewerb. Gemein muss ihnen 
sein, dass sie rational abzuleiten und 
hinterfragungsfähig und von der Wis- 
senschaftsgemeinschaft als solche aner- 
kannt sind. Projekte genügen dann den 
Ansprüchen an ein - Eingriffe legitimie- 
rendes - Öffentliches Interesse, wenn 
bei ihnen eine valide wissenschaftliche 
Methode zur Anwendung kommt. 

In Art. 15 ff. DGA sind datenaltruis- 
tische Organisationen geregelt. Hierbei 
muss es sich nicht, kann es sich aber 
um Forschungseinrichtungen handeln. 
Der Datenzugang für Forschungszwe- 
cke darf nicht auf solche Einrichtungen 
beschränkt sein, da das Forschungs- 
grundrecht grundsätzlich Jedermann 
zusteht. Wohl aber ist es möglich den 
Zugangsprozess für altruistische Orga- 
nisationen zu erleichtern, die in einem 
vorgelagerten Verfahren ihre altruisti- 
sche Zielsetzung und ihre Vertrauens- 
würdigkeit nachgewiesen haben. Das 
Forschungsgrundrecht für Jedermann 
begründet noch längst nicht für Jeder- 
mann einen Anspruch auf den Zugang 
zu Forschungsdaten. Diesen verdient 
nur, wer hierfür die Qualifikation nach- 
weisen kann und sich der öffentlichen 
Kontrolle unterwirft. 

Zur Dokumentation der konkret ge- 
planten Durchführung der Datenverar- 
beitung muss jedem Forschungsprojekt 
ein Datenschutzkonzept zur Pflicht ge- 
macht werden. Hierbei müssen - ähn- 
lich einer Datenschutz-Folgenabschät- 
zung (Art. 35 DSGVO) - die Prozesse, Ri- 
siken und zu ergreifenden Maßnahmen 
dargestellt werden. 

Zu den Charakteristika wissenschaft- 
licher Forschung gehört, dass sie hin- 
sichtlich des Forschungsdesigns und der 
dabei erfolgenden Datenverarbeitung 
offen für Hinterfragung und Kritik ist. 
Dies setzt Transparenz voraus. Transpa- 
renz ist in Bezug auf die datenschutz- 
rechtlich Betroffenen nötig. Diese lässt 
sich über Internetportale verwirkli- 


chen, soweit nicht eine individuelle 
Information und Ansprache angezeigt 
und möglich ist. Transparenzbedarf be- 
steht auch gegenüber der allgemeinen 
und wissenschaftlichen Öffentlichkeit, 
die im demokratischen Diskurs die Ge- 
meinwohlorientierung und Verhältnis- 
mäßigkeit zu hinterfragen in der Lage 
ist (Art. 18 DGA zu datenaltruistischen 
Organisationen). Die Transparenzpflicht 
gebietet es nicht das gesamte Vorgehen 
in einem Projekt offenzulegen. Viel- 
mehr muss die Logik des Projektes und 
das Ergebnis plausibel nachvollziehbar 
sein; nicht offenbart werden müssen 
Betriebs- und Geschäftsgeheimnisse, 
die für die Plausibilitätsprüfung nicht 
benötigt werden. 

Die Veröffentlichung der erlangten 
Erkenntnisse ist ein zentraler Bestand- 
teil des wissenschaftlichen Dialogs, wo- 
durch die Ergebnisse auf ihre Richtig- 
keit hin überprüft werden können. Auf- 
bauend auf die gefundenen Ergebnisse 
können weitere Erkenntnisse gesucht 
werden. Forschung ist letztlich auf 
Kommunikation und Publikation aus- 
gerichtet (vgl. Art. 179 Abs. 1 AEUV). 
Die kommunikative Rolle der Forschung 
spiegelt sich in der Regelung des 
Art. 85 DSGVO wider, der die wissen- 
schaftlichen Zwecke in den Regelungs- 
bereich „Meinungsäußerung und Infor- 
mationsfreiheit” einordnet. Forschung 
mit auf gesetzlicher Grundlage erlang- 
ten Daten ist in besonderem Maße re- 
chenschaftspflichtig. Hierfür muss eine 
Offenlegung der Ergebnisse innerhalb 
einer angemessenen Frist zur Pflicht ge- 
macht werden. So kann im Nachhinein 
überprüft werden, ob die Genehmigung 
des Datenzugangs materiell gerechtfer- 
tigt war. Bei zeitlich unbefristeten oder 
langjährigen Projekten können und 
sollten auch Zwischenberichte bzw. Eva- 
luationen zur Pflicht gemacht werden. 

Für den Datenzugang muss ein Geneh- 
migungsverfahren vorgesehen werden. 
Im Nachhinein muss festgestellt werden, 
ob die Genehmigungsanforderungen 
eingehalten wurden. Erweist sich der 
Dateneinsatz in Bezug auf die Resulta- 
te als erforderlich und verhältnismäßig 
(allgemein Art. 8 Abs. 5 DA-E)? Wurden 
die wissenschaftlichen Standards einge- 
halten? Forschung ist ergebnisoffen und 
kann scheitern. Ein Scheitern macht die 
Datenverarbeitung nicht unzulässig, es 
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kann aber relevant für spätere Zugangs- 
genehmigungen sein. 

Denkbar ist, dass zusätzlich zur Trans- 
parenz gegenüber der Öffentlichkeit 
und den Betroffenen vom Forschungs- 
projekt spezifische Transparenzpflich- 
ten gegenüber dem Dateninhaber oder 
-lieferanten eingegangen werden. Die- 
se können in einer Rückspiegelung der 
durch das Projekt „veredelten“ Daten 
bestehen oder in einer qualifizierten 
Berichterstattung über die Ergebnisse. 
Wurden verschiedene Datenquellen ge- 
nutzt, soist darauf zu achten, dass über 
diesen Umweg keine unzulässigen Da- 
tenübermittlungen und keine Vertrau- 
lichkeitsverletzungen erfolgen. 

Die datenschutzrechtliche Privilegie- 
rung von Forschungszwecken hat zur 
Folge, dass eine strenge Zweckbindung 
gelten muss. Esist auszuschließen, dass 
durch eine Weiterverwendung von For- 
schungsdaten die generell geltenden 
Zweckbindungsregelungen durchbro- 
chen werden. Die strenge Zweckbindung 
dient dem Vertrauen in die Unabhängig- 
keit der Forschung und ist Kompensati- 
on für die Herausgabeverpflichtung der 
Dateninhaber. Die Zweckbindung muss 
auch gegenüber staatlichen Einrichtun- 
gen gelten. Es ist daher geboten ein For- 
schungsgeheimnis zu normieren, das 
ein Zeugnisverweigerungsrecht und ein 
Beschlagnahmeverbot einschließt. Die 
Zweckbindung muss auch innerhalb der 
verantwortlichen Stelle gewahrt blei- 
ben, weshalb der organisatorische und 
personelle Rahmen des Forschungs- 
projektes präzise festzulegen ist. Die 
Wahrung der Vertraulichkeit dient nicht 
nur der Wahrung des Datenschutzes, 
sondern auch dem Schutz sonstiger im- 
materieller Rechte wie der Wahrung von 
Betriebs- und Geschäftsgeheimnissen 
und von Urheberrechten. Die Wahrung 
der Zweckbindung ist durch Sanktions- 
androhungen im Fall des Verstoßes zu 
flankieren (Art.33 DA-E, Art. 31 DGA, 
Art. 43 EHDS-E). Diese Sanktionen müs- 
sen durch eine hinreichende Aufsicht 
und Kontrolle effektiv umsetzbar sein. 


VII Datenzugangs-Verfahren 
Ein Antrag auf Datenzugang muss 
das Vorliegen der o.g. Voraussetzungen 


nachweisen. Die angeforderten Daten 
müssen von Relevanz für die erforschte 
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Fragestellung und die angestrebten, im 
Allgemeininteresse liegenden Ergebnis- 
se und insofern verhältnismäßig sein. 

Die Datenbereitstellung verursacht 
beim Dateninhaber Kosten, die diesem 
grundsätzlich zu ersetzen sind, was in 
der Regel dem Datennutzer auferlegt 
werden kann. Diese Kosten müssen an- 
gemessen und aufwandsbezogen sein 
(Art.9DA-E,Art.6DGA, Art. 42EHDS-E). 

Gesetzlich ermöglichte spekulative Ge- 
winne würden eine Forschungsbehinde- 
rung darstellen und können zu einer fi- 
nanziellen Diskriminierung bestimmter 
Forschungsvorhaben führen. 

Bei der organisatorischen Umsetzung 
der Datennutzungsinfrastruktur verwei- 
sen die EU-Regelungen weitgehend auf 
die nationalen Gesetzgeber (Art. 31 ff. 
DA-E, Art. 7f., 12 DGA, Art. 36 EHDS-E). 
Damit sollte es nicht sein Bewenden ha- 
ben. Um wirklich EU-weit Forschung zu 
fördern, bedarf es auch einer EU-weiten 
Infrastruktur (so Art. 52-54 EHDS-E). 

Die europäischen Regulierungs- 
vorhaben machen bisher keine for- 
schungsspezifischen Aussagen zur 
Genehmigungsstelle, die den Zugang 
der Daten vom Dateninhaber für die 
Forschungseinrichtung prüft, geneh- 
migt und herstellt (Art. 36 EHDS-E). 
Dadurch wird die Gefahr begründet, 
dass der Vertraulichkeit und der Inte- 
grität der Forschung nicht das nötige 
Vertrauen gezollt wird. 

Die Genehmigung des Datenzugangs 
für Forschungszwecke sollte daher 
von sonstigen Daten-Zugangsgeneh- 
migungen klar getrennt werden. Die 
verfassungsrechtliche Sonderstellung 
von Forschung muss sich im Genehmi- 
gungsprozess widerspiegeln. Zentral 
ist, dass die Genehmigungsstelle von 
ministeriell-exekutiven Interessen un- 
abhängig ist. Zugleich sind spezifische 
Kenntnisse der wissenschaftlichen For- 
schung nötig; Interessenkonflikte mit 
dem Antragsteller müssen vermieden 
werden. Insofern bieten sich korporati- 
ve Entscheidungsgremien an, in denen 
Sachverstand aus folgenden Bereichen 
nötig ist: Wissenschaft, Datenschutz, 
Ethik und Informatik (ähnlich Art. 36 
Abs. 3 EHDS-E). Eine dezentrale Struk- 
tur mit einer starken Vernetzung sollte 
sichergestellt werden. Die Vernetzung 
zielt einerseits auf den Informations- 
austausch untereinander ab wie auch 


auf die kollektive und gebündelte Infor- 
mationsbereitstellung gegenüber den 
Betroffenen und der Öffentlichkeit. 

Sämtliche EU-Gesetzespläne sehen ei- 
ne staatliche Aufsicht vor (z.B. Art. 31 ff. 
DA-E). Dort können betroffene juris- 
tische oder natürliche Beschwerden 
vorgebracht werden (Art. 32 DA-E, 
Art. 24 DGA). Die Aufsichtsbehörden ar- 
beiten zusammen; soweit Datenschutz 
Thema ist, sind die Datenschutzauf- 
sichtsbehörden einzubeziehen (Art. 12 
Abs. 3 DGA). Hinsichtlich einer staat- 
lichen Aufsicht im Forschungsbereich 
bedarf es - zusätzlich zu der Genehmi- 
gung und Überwachung der konkreten 
Durchführung der Forschungsprojekte 
- einer unabhängigen Rechtsaufsicht 
sowohl über die Forschungsdatenverar- 
beitung als über das Handeln der Geneh- 
migungsstellen (ähnlich Art. 23 DGA). 

Die in den Regelungsvorschlägen der 
EU-Kommission weit verbreitete Unart, 
sich selbst die Befugnis zuzusprechen 
über „Delegated Acts” Präzisierungen 
der gesetzlichen Regelungen vorzuneh- 
men (Art. 38 DA-E, Art.28 DGA, Art. 67 
EHDS-E), ist generell zu hinterfragen. In 
jedem Fall darf sie bei der Forschungsre- 
gulierung nur sehr zurückhaltend zum 
Einsatz kommen. Forschung sollte so 
weit wie möglich staatsfern erfolgen - 
der Wahrheit und nicht einer Exekutive 
verpflichtet. 


VIII Forschungsdatengesetz - 
Gesundheitsdatennutzungsgesetz 


Die obigen Überlegungen zielen auf 
eine Ergänzung der bisherigen Vor- 
schläge bzw. Regelungen der EU im Rah- 
men von deren Digitalstrategie. Sie sind 
auf die nationale Gesetzgebung über- 
tragbar. Ob überhaupt und in welchem 
Umfang sich die EU der Forschungs- 
thematik spezifisch annehmen wird, ist 
noch unklar. Unabhängig davon haben 
bis dahin die nationalen Gesetzgeber 
- auch in Deutschland - das Recht ei- 
gene Regelungen zu treffen. In jedem 
Fall sind die nationalen Gesetzgeber 
aufgefordert, wo das EU-Recht Rege- 
lungslücken lässt, diese zu füllen. Das 
nationale Recht sollte sich hinsichtlich 
Struktur, Zielsetzung und materieller 
Vorgaben an den bestehenden wie an 
den geplanten und absehbaren europä- 
ischen Vorgaben orientieren. 
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Die obigen Gesetzgebungsvorschläge 
für die EU eignen sich auch als Vorlage 
für nationales Recht, das schneller und 
weniger aufwändig geändert werden 
kann als in der EU. Im rot-grün-gelben 
Koalitionsvertrag haben die Regie- 
rungsparteien für die Legislaturperio- 
de bis 2025 u.a. die Erarbeitung eines 
Forschungsdatengesetzes sowie eines 
Gesundheitsdatennutzungsgesetzes 
angekündigt." Insofern lassen sich die 
obigen Ausführungen auf ein allgemei- 
nes Forschungsdatengesetz übertra- 
gen, die Ausführungen zum EHDS sind 
für ein Gesundheitsdatennutzungsge- 
setz übertragbar. Spezifische Aussagen 
zur Gesundheitsforschung lassen sich 
in jedem der beiden geplanten Gesetze 
realisieren. 

Um den Konflikt zwischen Bundes- 
und Ländergesetzgebungskompetenz 
im Forschungsbereich aufzuheben, 
wäre eine Grundgesetzänderung wün- 
schenswert. Sollte dies politisch nicht 
möglich sein, könnte der Bund eine Ge- 
setzesregelung vorgeben, der sich die 
Länder anschließen können. 

Intensiv diskutierte, erprobte und be- 
währte nationale Datenraumstrukturen 
und -normen können sich gegenseitig 
wie auch letztlich die europäische Re- 
gulierung inspirieren und Vorbild sein. 


IX Fazit 


Die Privatwirtschaft, insbesondere 
die Internetwirtschaft, hat den Paradig- 
menwechsel vom Schutz personenbezo- 
gener Daten zu deren Nutzung schon vor 
Jahren vollzogen und berücksichtigt 
hierbei die individuellen Datenschutz- 
bedürfnisse unzureichend. Sie zeigt da- 
mit die Risiken, aber auch das Potenzial 
auf, das in der Nutzung personenbezo- 
gener Daten liegt. Dieses Potenzial im 
Interesse der Allgemeinheit zu heben 
muss das Anliegen der anstehenden eu- 
ropäischen Gesetze sein. Der grundsätz- 
liche Ansatz ist insofern zu begrüßen. 
Die konkreten Regelungsvorschläge 
bleiben teilweise aber noch weit hin- 
ter einem angemessenen Grundrechts- 
schutz zurück.” 

Dies gilt nicht nurfür den Datenschutz, 
sondern auch für die Operationalisierung 
der Forschungsfreiheit. Forschung dient 
als eines der gängigsten Erklärungsmus- 
ter der neuen Gesetze, doch ist die nor- 
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mative Umsetzung hierzu bisher notlei- 
dend. Der vorliegende Beitrag dient dazu 
diese Defizite sowie Lösungsvorschläge 
aufzuzeigen. Es ist zu hoffen, dass die 
Vorschläge vom Rat und Parlament der 
EU aufgegriffen und in das Gesetzespa- 
ket eingeführt werden. 

Die vorgeschlagenen EU-Regelungen 
zur Forschung wären in der Lage die 
gewaltigen Regelungsdefizite beim Da- 
tenschutz im Forschungsbereich aufna- 
tionaler Ebene zu überregeln und damit 
zu verdrängen. Sie sind geeignet einen 
grundrechtskonformen Forschungsda- 
tenraum in Europa zu schaffen. Bis es 
soweit ist, werden noch Jahre verge- 
hen. Daher ist der nationale Gesetzge- 
ber gut beraten seine Bemühungen für 
ein Forschungsdatengesetz und für ein 
Gesundheitsdatennutzungsgesetz zu 
forcieren und - unter Beachtung der eu- 
ropäischen Pläne - umzusetzen. Damit 
könnte sich Deutschland an die Spit- 
ze einer Diskussion setzen, die darauf 
abzielt, dass Europa beim Datenschutz 
Spitze bleibt und bei der wissenschaft- 
lichen Forschung wird. 
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Achim Klabunde 


Gefahr für das Kommunikationsgeheimnis? 
Kein Fortschritt bei der ePrivacy-Verordnung 


Nach der Verabschiedung der DSGVO 
legte die Europäische Kommission den 
Entwurf einer Verordnung zum Schutz 
der Kommunikation (ePrivacy-VO) 
im Januar 2017 vor, das Europäische 
Parlament (EP) verabschiedete seine 
Verhandlungsposition mit Änderungs- 
anträgen noch im selben Jahr. Der Mi- 
nisterrat (Rat) brauchte bis zum Jahr 
2021, um sich auf eine Position zu ei- 
nigen. Seitdem laufen Verhandlungen 
zwischen EP und Rat. Auf Seite des Rats 
verhandelt eine Delegation der Mit- 
gliedsstaaten unter Führung der Rats- 
präsidentschaft. 

Die EP-Berichterstatterin Birgit Sip- 
pel reagierte auf die Ankündigung der 
Präsidentschaft: „Die Schwedische 
Ratspräsidentschaft zeigt sich - so wie 
ihre Vorgängerinnen - sehr interes- 
siert an allen digitalen Dossiers, die die 
Nutzung von Daten für wirtschaftliche 
Zwecke oder den Zugang zu personen- 
bezogenen Daten für den Schutz der 
öffentlichen Sicherheit zum Ziel haben. 
Aber die Absage der ePrivacy-VO-Ver- 
handlungen von Seiten der Schwedi- 
schen Ratspräsidentschaft zeigt: Beim 
Schutz der Bürgerinnen und Bürger 
vor Überwachung und Vertraulichkeit 
der Kommunikation hört das Interesse 


Heinz Alenfelder 


an Fortschritt auf. Doch statt sich klar 
zu positionieren schiebt die Ratspräsi- 
dentschaft das unliebsame Dossier nach 
hinten - ohne deutlich zu machen, wie 
sie Privatsphäre und Vertraulichkeit der 
Kommunikation anders sichern will. 
Digitale Grundrechte werden damit von 
den Mitgliedsstaaten auf das Abstell- 
gleis verlegt.” 

Zu den von der schwedischen Präsi- 
dentschaft vorangetriebenen Vorhaben 
gehört natürlich auch die als „Chat- 
kontrolle“ bekannt gewordene Initiati- 
ve eine vorsorgliche Überwachung von 
Kommunikation zur angeblichen Ver- 
hinderung und Bekämpfung von Kin- 
desmissbrauch zu ermöglichen (CSAM). 
Ironischerweise ist die einzige zwischen 
Rat und Parlament bisher erzielte Eini- 
gung eine Sonderregelung, die den 
Plattformbetreibern erlaubt freiwillige 
Überwachungsmaßnahmen, die der 
ePrivacy-Richtlinie eigentlich zuwider- 
laufen, zum Schutz von Kindern fort- 
zusetzen. Die Zivilgesellschaft hat viel- 
fach darauf hingewiesen, dass der unter 
dem Stichwort CSAM geforderte Zwang 
zur Chatüberwachung eine Vorratsda- 
tenspeicherung unter einem anderen 
Namen darstellt und damit die gleichen 
Grundrechtsverstöße umfasst wie diese. 


Sofern es keine Einigung im gegen- 
wärtigen Verfahren zur ePrivacy-VO 
gibt, bleibt die bisherige Richtlinie in 
Kraft. Dazu meint Frau Sippel: „Die ePri- 
vacy-Richtlinie, die vor über 20 Jahren 
in Kraft getreten ist, leistet weiterhin 
noch gute Dienste - insbesondere im 
Zusammenhang mit Vorschriften zur 
Vorratsspeicherung bei der Interpre- 
tation durch den Europäischen Ge- 
richtshof. Mit der Richtlinie haben wir 
27 verschiedene Interpretationen und 
Anwendungen der Bestimmungen in 
nationalen Gesetzen. Die Rechtsdurch- 
setzung steht vor großen Herausforde- 
rungen und hapert gewaltig. Unabhän- 
gig davon, dass bisher immer noch nicht 
alle Mitgliedsstaaten die Richtlinie voll- 
ständig und korrekt umgesetzt haben, 
liegen die Vorteile der Verordnung ins- 
besondere darin, dass wir den Anwen- 
dungsbereich deutlich erweitern und 
wichtige Schutzlücken im Zusammen- 
hang mit der alltäglichen Nutzung von 
sog. ‚OTT‘ wie Messengern und E-Mail- 
Diensten schließen könnten. Aus mei- 
ner Sicht verpassen wir als Europäische 
Gesetzgeber damit die einmalige Chance 
die Grundrechte der Europäerinnen und 
Europäer zu stärken, wenn die ePrivacy- 
Verordnung keine Realität wird.” 


BigBrotherAward-Verleihung 2023 - Ein Großereignis 


Anlässlich der Verleihung der deut- 
schen BigBrotherAwards (BBA) haben 
wir 2022 an dieser Stelle die Hinter- 
gründe der „Oscars für Datenkraken” 
sowie die Gewinner und Eindrücke von 
der Gala aufgeführt (DANA 2/2022, 
92 f.). Deshalb dokumentieren wir heute 
nur kurz und knapp die Preisträger 2023 
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und erklären, warum es sich bei der Gala 
zur Verleihung der BBA mittlerweile um 
ein Großereignis handelt. 

Die Jury bestand wie im letzten Jahr 
aus Frank Rosengart (Chaos Computer 
Club), padeluun (Digitalcourage), Peter 
Wedde (Professor für Arbeitsrecht und 
Recht der Informationsgesellschaft), 


Rena Tangens (Digitalcourage) und 
Thilo Weichert (DVD und Netzwerk Da- 
tenschutzexpertise). Ausführlichere In- 
formationen über die Jury und auch die 
Laudationes finden sich auf der Websei- 
te www.bigbrotherawards.de. 

In diesem Jahr lauteten die Preiska- 
tegorien: Behörden und Verwaltung, Fi- 
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nanzen, Kommunikation, Verbraucher- 
schutz und Lebenswerk: 


« Das Bundesfinanzministerium erhält 
als Behörde den Preis für das seit An- 
fang des Jahres geltende Plattformen- 
Steuertransparenzgesetz (PStTG), 
welches Plattformanbieter u.a. zur 
umfassenden Vorratsdatenspeiche- 
rung über private „Flohmarktverkäu- 
fe” zwingt. 

In der Kategorie Finanzen erhält 
das Fintech-Unternehmen finleap 
den Preis dafür, dass es über Jahre 
hinweg fälschlicherweise Informati- 
onen zum Kontowechsel an Firmen 
schickt, die mit dem Vorgang nichts 
zu tun haben. 

Der Preis in der Kategorie Kommuni- 
kation geht an Zoom Video Communi- 
cations Inc., die als US-Unternehmen 
Daten an Geheimdienste weiterleiten 
muss, aber dennoch behauptet DS- 
GVO-konform zu sein. 


Sakyi Mannah 


« Die Deutsche Post DHL Group erhält den 
Preisin der Kategorie Verbraucherschutz 
für praktizierten Digitalzwang. Sie will 
die Kunden und Kundinnen durch die 
Umstellung (der Funktionsweise) ihrer 
Packstationen dazu zwingen ein Smart- 
phone und ihre Post & DHL-App zu 
nutzen. Dieser Digitalzwang gehört be- 
sonders gerügt, denn hier schließt ein 
ehemaliges Staatsunternehmen Bürge- 
rinnen und Bürger (ohne Smartphone 
und App) von einer wichtigen Grundver- 
sorgung aus. 

Für das Lebenswerk laudatierte 
schließlich Thilo Weichert Microsoft 
dafür, dass es mit seiner Marktmacht 
Menschen, Unternehmen und Behör- 
den zwingt bei deren digitalen Akti- 
vitäten dauernd Daten in die USA zu 
übermitteln und sich dadurch in Echt- 
zeit überwachbar zu machen. Damit 
wird Microsoft bereits zum zweiten 
Mal (zuerst im Jahr 2002) in der Kate- 
gorie Lebenswerk ausgezeichnet. 


Die diesjährige, wiederum aufwändig 
organisierte Gala zur Verleihung der 
BBA fand durch Streaming als Großer- 
eignis in vielen Städten der Bundesre- 
publik gleichzeitig statt. Laut der Über- 
sicht auf der o.a. Webseite organisierten 
Digitalcourage-Orts- und Hochschul- 
gruppen von Kiel und Bremen über Leip- 
zig und Köln bis Bayreuth - um nur eini- 
ge herauszugreifen - jeweils ein Public 
Viewing. Auch andere Vereine wie der 
Hackspace Mudbyte e.V. aus Marburg 
oder der Förderverein Freifunk im Nean- 
derland e.V. hatten zum gemeinsamen 
Treffen eingeladen, wohl nicht zuletzt, 
um die eigene Arbeit bekannter zu ma- 
chen. Es ist anzunehmen und zu hoffen, 
dass die Fan-Gemeinde der deutschen 
BigBrotherAwards in den nächsten Jah- 
ren weiter wächst und der Intention der 
Preisverleihung zu einer immer größe- 
ren Stärke verhilft. 


Ermächtigung zum Einsatz der Polizeisoftware 
hessenDATA ist verfassungswidrig 


Sowohl in Hessen als auch in Hamburg 
sollten mithilfe der sog. „Polizeisoft- 
ware” hessenDATA präventiv Straftaten 
verhindert werden. Das Bundesverfas- 
sungsgericht urteilte nun über die am 
2. Juli 2019 und 20. November 2020 ein- 
gegangenen Verfassungsbeschwerden, 
in denen die Beschwerdeführenden den 
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& 25a des Hessischen Sicherheits- und 
Ordnungsgesetzes (HSOG) und den 8 49 
des Gesetzes über die Datenverarbei- 
tung der Polizei des Landes Hamburg 
(HmbPolDVG) rügten, welche als Er- 
mächtigungsgrundlagen zum Einsatz 
von hessenDATA dienten (BVerfG Urteil 
vom 16. Februar 2023 - 1 BvR 1547/19). 


Die Beschwerdeführenden trugen in 
beiden Verfahren vor, dass die Gesetze 
verfassungswidrig seien und sie durch 
die dadurch legitimierten Eingriffe in 
ihrem Grundrecht auf informationelle 
Selbstbestimmung (Art. 2 Abs. 1 1.V.m. 
Art. 1 Abs. 1 GG), dem Grundrecht auf 
Unverletzlichkeit der Wohnung (Art. 13 
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Abs. 1 GG), dem Fernmeldegeheimnis 
nach Art. 10 Abs. 1 GG und dem Grund- 
recht auf effektiven Rechtsschutz aus 
Art. 19 Abs. 4 GG verletzt würden. 

Das Bundesverfassungsgericht be- 
jahte in seinem Urteil am 16. Februar 
2023 die Verfassungswidrigkeit beider 
Gesetze mit der Begründung, dass die 
verfassungsrechtlichen Anforderungen 
an die Rechtfertigung einer automati- 
sierten Datenanalyse oder -auswertung 
nach der konkreten Ausgestaltung des 
& 25a HSOG und des $ 49 HmbPolDVG 
schärfer und strenger sind als bei einer 
einfachen weiteren Nutzung der Daten. 
Insbesondere die datenschutzrecht- 
lichen Grundsätze der Zweckbindung 
und Zweckänderung waren hierbei be- 
deutend. Die Befugnisse zur Abwehr 
von Gefahren nach 8 25a Abs. 1 Alt. 2 
HSOG und 8 49 Abs. 1 Alt. 2 HmbPolDVG, 
so erklärte das Gericht, blieben jedoch 
unberührt. 

Dieses Urteil stellt klar, dass derartige 
KI-basierten polizeilichen Informati- 
onssysteme nicht per se verboten sind. 
Vielmehr schafft das Urteil Rechtssi- 
cherheit betreffend die Speicherung 
und die nachgelagerten Datenanalysen 


in solchen Systemen, welche intensi- 
vere Grundrechtseingriffe darstellen 
könnten als gewöhnliche Verarbeitun- 
gen personenbezogener Daten. 

Das Gericht erklärte in seinem Urteil, 
dass je weiter die automatisierte Weiter- 
verarbeitung von Daten bei einer Daten- 
analyse oder -auswertung reiche, umso 
mehr entferne sich der darin liegende 
Eingriff von der ursprünglichen Daten- 
erhebung. Dies habe allerdings zur Fol- 
ge, dass der Grundsatz der Zweckbin- 
dung nicht mehr ausreiche, um die er- 
neute Datenverarbeitung verfassungs- 
rechtlich zu rechtfertigen. Für diese 
sog. Zweckänderung bedürfe es folglich 
einer weiteren datenschutzrechtlichen 
Rechtsgrundlage, welche die Weiterver- 
arbeitung rechtfertige. 

Werden durch die automatisierte Aus- 
wertung der Daten nicht nur die in den 
Daten angelegten, sondern mittels Ver- 
knüpfung der Daten auch verborgene 
Erkenntnisse über einzelne Personen 
gezogen und so nutzbare Profile einer 
Person erstellt, könnte sich dieser Vor- 
gang bei einem entsprechenden Einsatz 
der Plattform dem sog. „Profiling“ 1.S.d. 
Art. 22 DSGVO annähern. 


Die durch das Urteil klargestellten An- 
forderungen an KI-basierte Datenverar- 
beitungen im Kontext polizeilicher Ge- 
fahrenabwehr könnten zudem auch für 
andere - möglicherweise privatrechtlich 
organisierte - KI-basierte Plattformen 
und Datenverarbeitungen eine hohe Re- 
levanz erhalten. Thematisch ebenfalls 
zumindest im erweiterten Kontext der 
Gefahrenabwehr bzw. Daseinsvorsorge 
betätigen sich etwa auch Krisenresili- 
enzplattformen wie z.B. die Cognitive 
Economy Intelligence Plattform für die 
Resilienz wirtschaftlicher Ökosysteme 
(CoyPu). Auch für diese Plattformen 
wird mit hoher Wahrscheinlichkeit die 
Verarbeitung von personenbezogenen 
Daten eine sehr wichtige Rolle spielen. 

(Der Beitrag stellt die persönliche 
Auffassung des Autors dar und ist im 
Rahmen des vom Bundesministerium 
für Wirtschaft und Klimaschutz geför- 
derten Forschungsprojektes Cognitive 
Economy Intelligence Plattform für die 
Resilienz wirtschaftlicher Ökosysteme 
- CoyPu, https://coypu.org - entstan- 
den; zu dem Urteil siehe auch die Dar- 
stellung in diesem Heft S. 113) 


Presseerklärung der Deutschen Vereinigung für Datenschutz e.V. (DVD) 


vom 27.02.2023 


Sachsen-Anhalt: DVD warnt vor Vetternwirtschaft beim 


Datenschutz 


Mit Entsetzen verfolgt die Deutsche 
Vereinigung für Datenschutz e.V. (DVD) 
seit langem die Diskussion über den Da- 
tenschutz in Sachsen-Anhalt, die nun 
mit einem abgekarteten Prozess zur Be- 
setzung der Stelle des Landesbeauftrag- 
ten fortgesetzt wird. Diese ist seit über 
zwei Jahren vakant. Zuvor war Harald 
von Bose zwei Jahre länger als gesetz- 
lich vorgesehen im Amt. Mit einer Ge- 
setzesänderung und einer fragwürdigen 
Personalrochade soll nun offenbar ein 
CDU-Abgeordneter auf diesen Posten 
gehievt werden. 

Im Oktober 2022 scheiterte die Wahl 
des von der Regierung vorgeschlagenen 
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Kandidaten Albert Cohaus, der das Amt 
weiterhin kommissarisch wahrnimmt, 
dadurch, dass große Teile der regie- 
renden CDU-Fraktion ihm die Stimme 
mehrfach verweigerten. Die CDU-Abge- 
ordneten stimmten dem anerkannten 
Datenschützer Cohaus nicht zu, weil sie 
offenbar einem Abgeordneten aus den 
eigenen Reihen diesen Posten zuscha- 
chern wollen. Dem dient ein Gesetzes- 
vorschlag der Regierungsfraktionen, 
der den Fraktionen ein Vorschlagsrecht 
zuspricht und die gesetzliche Verpflich- 
tung zur öffentlichen Ausschreibung 
aufhebt (LI-Drs. 8/2255 v. 16.02.2023). 
Vorausgegangen war eine Absprache der 


Regierungsfraktionen, wonach die SPD 
den Vizepräsidenten des Landesrech- 
nungshofs, die FDP die Vizepräsidentin 
des Landesverwaltungsamtes und die 
CDU den Datenschutzbeauftragten be- 
nennen darf. 

Die DVD hat Hinweise darauf, dass mit 
dieser Abrede eine dubiose Personalro- 
chade durchgeführt werden soll, mit der 
dem bei der Landtagswahl gescheiterten 
CDU-Nachrücker Arnd Czapeck wieder 
ein Landtagsmandat beschafft werden 
soll. Czapeck wurde im Zusammenhang 
mit der Beantragung von Fluthilfegel- 
dern wegen Betruges zu einer Freiheits- 
strafe von acht Monaten auf Bewährung 
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verurteilt. Er soll offenbar durch das 
Nachrücken mit Landtagsdiäten aus 
seiner prekären finanziellen Situation 
befreit werden. Hierfür müsste ein CDU- 
Abgeordneter zum Datenschutzbeauf- 
tragten gewählt werden und dadurch 
aus dem Landtag ausscheiden. Dieser 
Vorgang soll nach Verabschiedung der 
nun geplanten Gesetzesänderung über 
die Bühne gehen. 

Die DVD weist daraufhin, dass ein sol- 
ches Vorgehen schlicht unzulässig und 
ein Bärendienst für den Datenschutz 
und das Land Sachsen-Anhalt wäre: Die 
bisherige Regelung im Datenschutzge- 
setz des Landes, wonach die Stelle des 
Datenschutzbeauftragten öffentlich 
auszuschreiben ist, entspricht den Vor- 
gaben der DSGVO. Nach diesen muss die 
Besetzung „im Wege eines transparen- 
ten Verfahrens” erfolgen. Für die Stelle 
kommt nur eine Person in Frage, „die für 
die Erfüllung seiner Aufgaben und Aus- 
übung seiner Befugnisse erforderliche 
Qualifikation, Erfahrung und Sachkun- 
de insbesondere im Bereich des Schut- 


zes personenbezogener Daten” verfügt 
(Art. 53 DSGVO). 

DVD-Vorstandsmitglied Thilo Wei- 
chert: „Wir kennen keinen CDU-Ab- 
geordneten, der die europarechtlich 
geforderten Voraussetzungen erfüllt. 
Das anscheinend geplante Vorgehen ist 
nicht transparent, sondern Ausdruck 
übler Vetternwirtschaft. Es wäre für den 
Datenschutz in Sachsen-Anhalt eine Ka- 
tastrophe, wenn er auf diese Weise wei- 
ter heruntergewirtschaftet würde.” 


DVD-Vorsitzender Frank Spaeing er- 
gänzt: „Nicht nur die Abgeordneten der 
CDU, sondern sämtliche Parlamentarier, 
insbesondere der Regierungsfraktio- 
nen, sind gut beraten beim geplanten 
Stühlerücken nicht mitzumachen. Nö- 
tig ist eine Öffentliche Ausschreibung. 
Die CDU-Fraktion kann gerne jemand 
aus ihren Reihen zur Bewerbung auf- 
fordern. Die qualifizierteste Kandidatin 
oder der qualifizierteste Kandidat sollte 
ausgewählt werden.” 


Leserbriefe zu den Themen der Datenschutz Nachrichten 
sind herzlich willkommen! 


Nachruf auf Spiros Simitis - Ende einer Ära 


Am 18. März 2023 ist Prof. Dr. Dr. h.c. 
mult. Spiros Simitis verstorben. Die Kon- 
ferenz der unabhängigen Datenschutz- 
aufsichtsbehörden des Bundes und der 
Länder (Datenschutzkonferenz) trauert 
um einen der Begründer und Gestal- 
ter des Datenschutzes in Deutschland 
und Europa. Mit ihm verliert der Daten- 
schutz einen eloquenten Fürsprecher 
und zugleich einen feinsinnigen und 
klugen Verteidiger, der neugierig und 
versiert neue Entwicklungen aufgriff 
und konstruktiv weiterdachte. Grieche 
von Geburt, Europäer aus Überzeugung 
und Datenschützer aus Leidenschaft. 

In seiner Person vereinte Spiros Simi- 
tis Wissenschaft und Praxis des Daten- 
schutzes. Er war seit 1969 als Professor 
für Arbeitsrecht, Bürgerliches Recht 
und Rechtsinformatik in Frankfurt am 
Main insbesondere mit arbeitsrechtli- 
cher Perspektive ein Vordenker des Da- 
tenschutzes und unterstützte bei der 
Erarbeitung des ersten Datenschutzge- 
setzes der Welt, des hessischen Daten- 
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schutzgesetzes von 1970. Von 1975 bis 
1991 war er Hessischer Datenschutzbe- 
auftragter und setzte sein Wissen und 
seine Überzeugungskraft für die Sicher- 
stellung von Datenschutz in der Anwen- 
dung ein. Sein gewinnendes Auftreten 
machte ihn zu einem gefragten Ge- 
sprächspartner und Berater im In- und 
Ausland. Im Rahmen des Europarates 
sowie als Berater der EU-Kommission 
nahm Spiros Simitis erheblichen Ein- 
fluss auf die Fundierung des Daten- 
schutzes in Europa. Er trug wesentlich 
dazu bei die Grundlagen zu legen, auf 
denen das Datenschutzrecht bis heute 
und in Zukunft aufbaut. 

Spiros Simitis setzte sich auch nach 
seiner Emeritierung weiter mit großem 
Geschick und intellektueller Brillanz 
für den Schutz des Rechts auf informa- 
tionelle Selbstbestimmung ein. In zahl- 
reichen Publikationen und führenden 
Kommentierungen, aber auch in effek- 
tiver Politikberatung wirkte er stetig an 
der Fortentwicklung des Datenschutz- 


rechts mit. Mit ihm endet eine Ära des 
Neuaufbaus des Datenschutzrechts mit 
dem Schaffen von Grundlagen; spä- 
testens seit Geltung der Datenschutz- 
Grundverordnung ist der Datenschutz 
im Kern jeglicher Digitalisierung und in 
der Mitte der Gesellschaft angekommen. 

Zum Vermächtnis von Spiros Simitis 
gehört es unter den Bedingungen sich 
dynamisch entwickelnder Informa- 
tions- und Kommunikationstechnolo- 
gien die Freiheit der Einzelnen durch 
Recht zu sichern. Die Datenschutzkon- 
ferenz sieht sich diesem Vermächtnis 
verpflichtet. Im Geiste von Spiros Simi- 
tis wird sie die Rechte und Freiheiten 
und insbesondere die informationelle 
Selbstbestimmung der Bürgerinnen 
und Bürger schützen, verteidigen und 
weiterentwickeln. 

Wir werden Spiros Simitis vermissen. 

(Pressemitteilung der Konferenz der 
unabhängigen Datenschutzaufsichtsbe- 
hörden des Bundes und der Länder vom 
21.03.2023) 
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Öffentlicher Brief aus der Zivilgesellschaft zum Vorschlag 
eines französischen Gesetzes über die Olympischen 
Spiele und die paralympischen Spiele 2024 


01.03.2023 


Sehr geehrte Abgeordnete der Natio- 
nalversammlung, 


Wir, die unterzeichnenden 37 zi- 
vilgesellschaftlichen Organisationen, 
bringen unsere tiefe Besorgnis über 
Artikel 7 des vorgeschlagenen Gesetzes 
über die Olympischen und die Para- 
lympischen Spiele 2024 (projet de loi 
relatif aux jeux Olympiques et Paralym- 
piques de 2024)! zum Ausdruck. Damit 
würde eine Rechtsgrundlage für den 
Einsatz von algorithmusgesteuerten 
Kameras zur Erkennung bestimmter 
verdächtiger Ereignisse im öffentlichen 
Raum geschaffen. 

Der Vorschlag ebnet unter dem Vor- 
wand, Großveranstaltungen zu si- 
chern, den Weg für den Einsatz inva- 
siver, algorithmengesteuerter Video- 
überwachung. Mit dem Gesetz würde 
Frankreich der erste EU-Mitgliedsstaat, 
der solche Praktiken ausdrücklich le- 
galisiert. Wir halten die vorgeschla- 
genen Überwachungsmaßnahmen für 
einen Verstoß gegen internationale 
Menschenrechtsvorschriften, da sie 
die Grundsätze der Erforderlichkeit 
und Verhältnismäßigkeit verletzen und 
unannehmbare Risiken für Grundrech- 
te wie das Recht auf Privatsphäre, die 
Versammlungs- und Vereinigungsfrei- 
heit und das Recht auf Nichtdiskrimi- 
nierung darstellen. 

Wir fordern Sie auf den Artikel 7 zu 
hinterfragen und das Thema mit Orga- 
nisationen der nationalen Zivilgesell- 
schaft zu diskutieren. Dessen Verab- 
schiedung würde einen besorgniser- 
regenden Präzedenzfall für eine unge- 
rechtfertigte und unverhältnismäßige 
Überwachung in öffentlich zugängli- 
chen Räumen schaffen. 

Der Vorschlag ist eine ernsthafte Be- 
drohung der bürgerlichen Freiheiten 
und der demokratischen Grundsätze. 

Die bloße Existenz einer ungezielten 
(auch willkürlich zu bezeichnenden) 
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automatisiert vorgehenden Video- 
überwachung im öffentlich zugängli- 
chen Raum kann eine abschreckende 
Wirkung auf die Inanspruchnahme 
bürgerlicher Grundfreiheiten haben, 
insbesondere auf das Recht auf Ver- 
sammlungs-, Vereinigungs- und Mei- 
nungsfreiheit. Der Europäische Da- 
tenschutzausschuss und der Europä- 
ische Datenschutzbeauftragte? haben 
festgestellt, dass die biometrische 
Überwachung die begründete Erwar- 
tung der Menschen auf Anonymität im 
öffentlichen Raum untergräbt und aus 
Angst, identifiziert, profiliert oder 
sogar zu Unrecht verfolgt zu werden, 
ihre Fähigkeit und ihren Willen ein- 
schränkt ihre bürgerlichen Freiheiten 
auszuüben. Diese Maßnahme bedroht 
den Kern des Rechts auf Privatsphäre 
und auf Datenschutz und ist mit den 
internationalen und europäischen 
Menschenrechtsvorschriften nicht 
vereinbar. 

Die Aufrechterhaltung des vollstän- 
digen Schutzes dieser Grundrechte und 
das Schaffen von Bedingungen, die 
eine öffentliche Debatte ermöglichen, 
einschließlich politischer Meinungs- 
äußerung im öffentlichen Raum, ist bei 
wichtigen Ereignissen wie den Olym- 
pischen Spielen besonders bedeutend 
und steht in Einklang mit demokrati- 
schen Werten und Grundsätzen. 

Die Gründe, die eine Überwachung 
des öffentlichen Raums rechtfertigen, 
werden durch das vorgeschlagene 
Gesetz erheblich und in gefährlicher 
Weise ausgeweitet. Die Einstufung von 
Betteln oder stationären Versammeln 
als „atypisch” birgt die Gefahr der Stig- 
matisierung und Diskriminierung von 
Menschen, die sich häufiger im öffent- 
lichen Raum aufhalten, etwa wegen ih- 
rer Obdachlosigkeit oder ihrer prekären 
wirtschaftlichen Situation. 

Der Vorschlag würde zu einer biome- 
trischen Massenüberwachung führen. 


Artikel 7 Abs. 3 des Gesetzentwurfs 
behauptet fälschlich, dass algorith- 
mische Videoüberwachungssysteme 
keine biometrischen Daten verarbei- 
ten würden. Die europäische Daten- 
schutz-Grundverordnung (DSGVO) 
definiert biometrische Daten als „mit 
speziellen technischen Verfahren ge- 
wonnene personenbezogene Daten zu 
den physischen, physiologischen oder 
verhaltenstypischen Merkmalen einer 
natürlichen Person, die die eindeuti- 
ge Identifizierung dieser natürlichen 
Person ermöglichen oder bestätigen” 
(Art. 4 Nr. 14 DSGVO). Wenn der Zweck 
von algorithmusgesteuerten Kameras 
darin besteht bestimmte verdächtige 
Ereignisse in öffentlichen Räumen zu 
erkennen, erfassen und analysieren sie 
zwangsläufig physiologische Merkmale 
und Verhaltensweisen von Personen, 
die sich in diesen Räumen aufhalten, 
z.B. ihre Körperhaltung, ihren Gang, 
ihre Bewegungen, ihre Gesten oder ihr 
Aussehen. Ohne das Herausgreifen von 
Personen aus dem Gesamtbild wäre es 
unmöglich den Zweck des Systems zu 
erreichen, was auf eine „eindeutige 
Identifizierung” hinausläuft. Das euro- 
päische Datenschutzrecht legt gemäß 
der Auslegung durch den Europäischen 
Datenschutzausschuss? fest, dass die 
Fähigkeit, eine Person aus einer Men- 
schenmenge oder ihrer Umgebung her- 
auszuheben, eine „eindeutige Identifi- 
zierung” ist, unabhängig davon, ob der 
Name oder die ID-Nummer der Person 
bekannt ist. 

Es muss darauf hingewiesen werden, 
dass der Einsatz von KI-basierten Sys- 
temen zur Analyse und Vorhersage des 
Verhaltens, der Emotionen oder der Ab- 
sichten von Menschen ebenso invasiv 
und gefährlich sein kann wie der Ein- 
satz von Systemen zur Identifizierung 
von Menschen. Die Einstufung von Per- 
sonen als „risikoreich” auf der Grund- 
lage ihrer biometrischen Daten käme 
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einer biometrischen Kategorisierung 
gleich, die vom französischen „de- 
fenseur des droits” (Ombudsperson in 
Frankreich) und dem vorgeschlagenen 
EU-Gesetz über künstliche Intelligenz 
wegen ihrer biometrischen Merkmale 
als besondere Kategorie personenbe- 
zogener Daten definiert wird. Wir wei- 
sen Sie darauf hin, dass die Maßnah- 
me im Widerspruch zu dem geplanten 
EU-Gesetz über künstliche Intelligenz 
stehen würde. Im Rahmen der aktu- 
ellen Gesetzgebung gibt es eine Reihe 
parlamentarischer Änderungsanträge, 
wonach die biometrische Kategorisie- 
rung wegen der damit verbundenen 
hohen Grundrechtsrisiken vollständig 
verboten werden soll. 

Der schwerwiegende Eingriff in die 
Menschenrechte ist weder erforderlich 
noch verhältnismäßig. 

Ein wirksamer Schutz der Menschen- 
rechte setzt die Kenntnis der Grenzen 
der Technologien und den Nachweis 
voraus, dass sie das verfolgte Ziel wirk- 
sam erreichen. Daraus ergibt sich die 
Notwendigkeit zu untersuchen, wie die 
im Namen der Sicherheit eingeführten 
Technologien auf tatsächliche Bedro- 
hungen reagieren und wie sie sich auf 
die Menschenrechte und bürgerlichen 
Freiheiten auswirken werden. 

Der Gesetzesvorschlag stellt eine 
große Gefahr für grundlegende Men- 
schenrechte dar und es gibt Hinweise 
dafür, dass Videoüberwachung bei der 
Verhinderung von Verbrechen oder Si- 
cherheitsbedrohungen kein wirksames 
Mittel ist‘. Demgemäß konnte die Re- 
gierung nicht dessen Erforderlichkeit 
und Verhältnismäßigkeit nachweisen; 
sie hat auch die Zivilgesellschaft in die 
Maßnahme nicht in sinnvoller Weise 
einbezogen. Darin liegt ein Verstoß 
gegen die staatliche Verpflichtung zur 
Wahrung der Menschenrechte gemäß 
internationalen Verträgen wie dem 
Internationalen Pakt über bürgerliche 
und politische Rechte und der Europäi- 
schen Menschenrechtskonvention. 

Der Vorschlag ist ein Schritt auf dem 
Weg zur Gewöhnung an außergewöhn- 
liche Überwachungsbefugnisse. 

Der geplante Artikel 7 steht für den 
besorgniserregenden Trend von Regie- 
rungen ihre Überwachungsbefugnisse 
als Notmaßnahme im Namen der Si- 
cherheit auszuweiten. Nur ausnahms- 
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weise werden diese „außergewöhnli- 
chen” Maßnahmen zurückgenommen. 
Überwachung und Kontrolle werden 
vielmehr zur Normalität, zumeist ohne 
dass es angemessene Sicherheitsvor- 
kehrungen, Transparenz, die Einbezie- 
hung von Interessengruppen und Me- 
chanismen zur Rechenschaftslegung 
gibt. 

Dies gilt insbesondere für die Über- 
wachungsmaßnahmen der letzten 20 
Jahre im Namen der Terrorismusbe- 
kämpfung und - in jüngerer Zeit - für 
die digitalen Lösungen, die während 
der Covid-19-Pandemie eingeführt 
wurden’. Wir erlebten schon früher, 
dass Olympische Spiele entsprechend 
als Experimentierfeld zur Ausweitung 
staatlicher Befugnisse dienten, die 
später ohne Ausnahmeverhältnisse 
umgewidmet wurden‘. 

Diese Erfahrungen begründen unsere 
Befürchtung, dass die algorithmische 
Videoüberwachung nach 2025 nicht 
abgeschafft würde. Die Verabschiedung 
dieses Gesetzes würde zudem einen ge- 
fährlichen Präzedenzfall für andere eu- 
ropäische Länder schaffen, die - bisher 
ohne Erfolg - riskante biometrische 
Überwachungspraktiken zu legalisie- 
ren versucht haben, so etwa Portugal 
und Serbien. Frankreich würde berüch- 
tigter „Vorreiter“ der Überwachungs- 
politik in der Europäischen Union. 

Wir hoffen aufrichtig, dass Sie im 
Austausch mit der Zivilgesellschaft die 
notwendigen Schritte vornehmen, um 
die in diesem Schreiben geäußerten 
Bedenken auszuräumen. Wir stehen für 
einen weiteren Austausch zu den ange- 
sprochenen Fragen zur Verfügung. 


Mit freundlichen Grüßen 


Access Now, Global; AlgoRace, Spain; 
AlgorithmWatch, Germany; Algorithm- 
Watch CH, Switzerland; Amnesty In- 
ternational, Global; ApTI, Romania; 
ARTICLE 19, Global; Association Na- 
tionale des Supporters, France; Big 
Brother Watch, UK; Bits of Freedom, 
The Netherlands; Centre for Democracy 
& Technology, Europe; Chaos Computer 
Club Lötzebuerg, Luxembourg; Citizen 
D / Dızavljan D, Slovenia; Civil Liberties 
Union for Europe, Europe; Deutsche 
Vereinigung für Datenschutz e.V. 
(DVD), Germany; Digitalcourage e.V., 


Germany; Digitale Gesellschaft, Swit- 
zerland; Digitale Freiheit e.V., Germa- 
ny; Elektronisk Forpost Norge, Norway; 
Eticas Tech, Spain; European Center for 
Not-for-Profit Law Stichting (ECNL), 
Europe; European Digital Rights, Eu- 
rope; Fair Trials, Global; Forum Civique 
Europeen, France/Europe; Football 
Supporters Europe, Europe; Homo Di- 
gitalis, Greece; Human Rights Watch, 
International; Irish Council for Civil 
Liberties, Ireland; IT-Pol, Denmark; 
Iuridicum Remedium, Czech Republic; 
Liberty, UK; Panoptykon Foundation, 
Poland; Privacy International, Global; 
Privacy Network, Italy; Share Foundati- 
on, Serbia; Society Vrijbit, The Nether- 
lands; Statewatch, Europe; Today is a 
new day/ Danesje nov dan, Slovenia 


1 https://www.senat.fr/leg/pjl22-220. 
html. 


2 https://edpb.europa.eu/system/ 
files/2021-10/edpb-edps_joint_ 
opinion_ai_regulation_fr.pdf. 


3 https://edpb.europa.eu/sites/ 
default/files/files/file1/edpb_ 
guidelines_201903_video_devices 
en_0.pdf. 


4 https://ecnl.org/publications/under- 
surveillance-misuse-technologies- 
emergency-responses. 


5 https://www.lemonde.fr/societe/ 
article/2021/12/22/une-etude- 
commandee-par-les-gendarmes-montre- 
la-relative-inefficacite-de-la- 
videosurveillance_6106952_3224.html. 

6 https://www.scielo.br/j/cm/a/zcKnN9C 
hT9Wgc4hfGWKSk4d/ ?format=pdf&lang= 
en. 


Der englisch- und der französisch- 
sprachige Originalbrief ist im Internet 
abrufbar unter 
https://edri.org/wp-content/ 
uploads/2023/03/Civil-society-public- 
letter-on-Art.-7-of-the-French- 
Olympics-law-Final_EN.pdf 
und 
https://ecnl.org/news/ civil-society- 
open-letter-proposed-french-law- 
2024-olympic-and-paralympic-games 
(siehe hierzu die Meldung auf S. 107) 
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Europäisches Parlament: Stellen Sie sicher, dass das KI- 
Gesetz die Menschenrechte schützt! 


Im Vorfeld der Abstimmung über das 
KI-Gesetz im Europäischen Parlament 
(AI-Act) fordert die Zivilgesellschaft die 
Mitglieder des Europäischen Parlaments 
(MdEP) auf dafür zu sorgen, dass das EU- 
Gesetz über künstliche Intelligenz (KI- 
Gesetz) den Grundrechten Vorrang ein- 
räumt und die von Systemen künstlicher 
Intelligenz (KT) betroffenen Menschen 
schützt. 

In zunehmendem Maße werden KI-Sys- 
teme eingesetzt, um uns im öffentlichen 
Raum zu überwachen und zu identifizie- 
ren, unsere Kriminalitätswahrscheinlich- 
keit vorherzusagen, Polizei- und Einwan- 
derungskontrollen aufbereits überwachte 
Gebiete vorzuverlagern, Verstöße gegen 
das Recht auf Asyl und die Unschuldsver- 
mutung zu erleichtern, unsere Emotionen 
vorherzusagen und uns anhand diskrimi- 
nierender Rückschlüsse zu kategorisieren 
sowie wichtige Entscheidungen über uns 
zu treffen, die unseren Zugang zu Sozial- 
leistungen, Bildung und Beschäftigung 
bestimmen. 

Ohne eine angemessene Regulierung 
werden KI-Systeme die bestehenden 
gesellschaftlichen Probleme der Mas- 
senüberwachung, der strukturellen Dis- 
kriminierung, der zentralisierten Macht 
großer Technologieunternehmen, nicht 
rechenschaftspflichtiger öffentlicher 
Entscheidungsfindung und der Um- 
weltausbeutung weiter verschärfen. Die 
Komplexität, der Mangel an Rechen- 
schaftspflicht und öffentlicher Trans- 
parenz sowie die wenigen verfügbaren 
Rechtsbehelfe stellen die Menschen vor 
die Herausforderung ihre Rechte durch- 
zusetzen, wenn sie durch KI-Systeme 
geschädigt werden. Diese Hindernisse 
stellen vor allem für die am stärksten 
marginalisierten Mitglieder der Gesell- 
schaft ein besonderes Risiko dar. 

Der KI-Gesetzentwurf der EU kann und 
sollte diese Probleme angehen und si- 
cherstellen, so dass die Entwicklung und 
Nutzung von Klinnerhalb eines Rahmens 
von Rechenschaftspflicht, Transparenz 
und angemessenen, auf Grundrechten 
basierenden Einschränkungen erfolgt. 
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Wir fordern die Abgeordneten des Euro- 
päischen Parlaments auf bei der Abstim- 
mung über den KlI-Gesetzentwurf Fol- 
gendes zu gewährleisten: 


1. Befähigung der Menschen, die von 

KI-Systemen betroffen sind 

- Gewährleisten Sie die horizontale und 
durchgängige Zugänglichkeit bei allen 
KI-Systemen. 

- Stellen Sie sicher, dass Menschen, die 
von KI-Systemen betroffen sind, in- 
formiert werden und das Recht haben 
sich zu informieren, wenn sie von KI- 
gestützten Entscheidungen und Er- 
gebnissen betroffen sind. 

- Sehen Sie ein Recht für Betroffene vor 

sich bei einer nationalen Behörde zu 

beschweren, wenn ihre Rechte durch 
den Einsatz eines KI-Systems verletzt 
worden sind. 

Regeln Sie ein Recht auf Vertretung 

natürlicher Personen und ein Recht 

von Organisationen des öffentlichen 

Interesses eigenständige Beschwerden 

bei einer nationalen Aufsichtsbehörde 

einzureichen. 

Sehen Sie ein Recht auf wirksame 

Rechtsbehelfe bei Rechtsverletzun- 

gen vor. 


2. Gewährleistung von Rechen- 
schaftspflicht und Transparenz beim 
Einsatz von KI 

- Regeln Sie die Verpflichtung für die 
Nutzer vor jedem Einsatz eines KI- 
Systems mit hohem Risiko eine Fol- 
genabschätzung für die Grundrechte 
durchzuführen und zu veröffentlichen 
und die Zivilgesellschaft und die Be- 
troffenen sinnvoll in diesen Prozess 
einzubeziehen. 

- Alle Nutzer von KI-Systemen mit ho- 
hem Risiko und alle Nutzer von Sys- 
temen im öffentlichen Bereich sollten 
verpflichtet werden die Nutzung vor 
dem Einsatz in einer europäischen KI- 
Datenbank zu registrieren. 

- Stellen Sie sicher, dass bei der Klassi- 
fizierung von KI-Systeme mit hohem 
Risiko der Rechtssicherheit Vorrang 


eingeräumt und den Anbietern keine 
Schlupflöcher eröffnet werden, um die 
rechtliche Prüfung zu umgehen. 
Stellen Sie sicher, dass in der EU an- 
sässige KI-Anbieter, deren Systeme 
Auswirkungen auf Menschen außer- 
halb der EU haben, den gleichen An- 
forderungen unterliegen wie Anbieter 
innerhalb der EU. 


3. Verbot von KI-Systemen, die 

ein unannehmbares Risiko für die 

Grundrechte darstellen 

- Verbieten Sie vollständig und aus- 
nahmslos die biometrische Identifi- 
zierung in Echtzeit und aus der Ferne 
in öffentlich zugänglichen Räumen 
durch alle Akteure. 

- Verbieten Sie alle Formen von prädik- 
tiven und profilbildenden Systemen in 
der Strafverfolgung und in der Straf- 
Justiz (orts- und personengebunden). 

- Verbieten Sie KI im Migrationskontext 
zur Erstellung individueller Risikobe- 
wertungen und -profile auf der Grund- 
lage personenbezogener und sensibler 
Daten sowie von prädiktiven Analyse- 
systemen, wenn diese zur Unterbin- 
dung, Einschränkung und Verhinde- 
rung von Migration eingesetzt werden. 

- Verbieten Sie biometrische Kategori- 
sierungssysteme, die natürliche Perso- 
nen nach sensiblen oder geschützten 
Merkmalen kategorisieren, sowie die 
Verwendung jeglicher biometrischer 
Kategorisierungs- und automatisierter 
Verhaltenserkennungssysteme in öf- 
fentlich zugänglichen Räumen. 

- Untersagen Sie den Einsatz von Emo- 
tionserkennungssystemen, die aus 
physischen, physiologischen, verhal- 
tensbezogenen und biometrischen 
Daten auf die Emotionen und den Geis- 
teszustand von Menschen schließen. 


Wir fordern die Abgeordneten des Eu- 
ropäischen Parlaments auf für die Auf- 
nahme dieser Schutzmaßnahmen in das 
Gesetz über künstliche Intelligenz zu 
stimmen und sicherzustellen, dass die 
Verordnung ein Instrument zur Förde- 
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rung der Grundrechte und der sozialen 
Gerechtigkeit ist. 

Einen detaillierten Überblick darüber, 
wie das Al-Gesetz die Grundrechte besser 
schützen kann, finden Sie in dieser von 
123 Organisationen der Zivilgesellschaft 
unterzeichneten Erklärung: 
https://edri.org/our-work/civil- 
society-calls-on-the-eu-to-put- 
fundamental-rights-first-in-the-ai-act/ 

Weitere Informationen zu den von der 
Zivilgesellschaft vorgeschlagenen Ände- 
rungen finden Sie hier: 
https://edri.org/our-work/the-eus- 
artificial-intelligence-act-civil-society- 
amendments/ 


Unterzeichnende 75 Organisationen: 
European Digital Rights (EDRi), Access 
Now, Algorithm Watch, Amnesty Inter- 
national, Article 19, Bits of Freedom, 
Electronic Frontier Norway (EFN), Euro- 
pean Center for Not-for-Profit Law (ECNL), 
European Disability Forum, Fair Trials, 
Homo Digitalis, Irish Council for Civil Li- 
berties (ICCL), Panoptykon Foundation, 
Platform for International Cooperation 
on the Rights of Undocumented Migrants 
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Für Experten 
& Einsteiger 


hr erfahren Sie auf 
.privacy-port.de 


(PICUM), #jesuisla, Afrique Culture Maroc, 
AI Forensics, AI Now Institute, Alternatif 
Bilisim (AiA), Alliance4Europe, Are You 
Syrious? Association for Juridical Studies 
on Immigration (ASGI), autonomic, Avaaz 
Foundation, Baobab Experience, Border 
Violence Monitoring Network, Centre for 
Youths Integrated Development, Civil 
Liberties Union for Europe, Coalition For 
Women In Journalism (CFWIJ), Coalizione 
Italiana Liberta e Diritti civili, Comision 
General Justicia y Paz, DataEthics.eu, De- 
fend Democracy, Deutsche Vereinigung 
für Datenschutz e.V. (DVD), Digitalcou- 
rage, Digitale Gesellschaft, Switzerland, 
Drzavljan D / Citizen D, Each One Teach 
One (EOTO) e. V., Ekö, Equipo Decenio 
Afrodescendiente Espana, Eumans, Eu- 
ropean Civic Forum, European Network 
Against Racism (ENAR), European Sex 
Workers Rights Alliance, Fair Trials, Fair 
Vote UK, Faith Matters EU, FUNDACION SE- 
CRETARIADO GITANO, Gong, Greek Forum 
of Migrants, Health Action International, 
Hermes Center, horizontl Collaborative, 
IT-Pol Denmark, Ivorian Community of 
Greece, La Strada International, Lafede. 
cat, Lie Detectors, Ligue des droits hu- 
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mains, Migrants‘ Rights Network, Mu- 
jeres Supervivientes, Open Knowledge 
Foundation Germany, ORBITvzw, Privacy 
International, Queerstion Media, Racism 
and Technology Center, Refugee Law Lab, 
York University, Refugees in danger (NGO) 
- Denmark, save space e.V., SOS RACISMO 
GIPUZKOA, Stichting The London Story, 
Superbloom (previously Simply Secure), 
The Daphne Caruana Galizia Foundation, 
UNI Europa, WeMove Europe 

Entworfen von: European Digital Rights, 
Access Now, Algorithm Watch, Amnesty 
International, Article 19, Bits of Freedom, 
Electronic Frontier Norway (EFN), Euro- 
pean Center for Not-for-Profit Law, (ECNL), 
European Disability Forum, Fair Trials, 
Homo Digitalis, Irish Council for Civil Li- 
berties (ICCL), Panoptykon Foundation, 
Platform for International Cooperation 
on the Rights of Undocumented Migrants 
(PICUM). 

Das englischsprachige Originaldoku- 
ment ist im Internet zu finden unter 

https://edri.org/wp-content/uploads/ 
2023/04/PDF-FINAL-Statement- 
European-Parliament-Make-sure-the- 
Al-act-protects-peoples-rights.pdf. 


DSGVO leicht gemacht! 
Unser Datenschutz- 
Managementsystem 


© webbasierte Anwendung (SaaS) 
mit Zwei-Faktor-Authentisierung 


oO differenziertes Rollen- und Rechtekonzept 
inkl. Deeplink-Funktion 


O Statistikfunktionen und 
kontinuierliches Datenschutz-Monitoring 


umfangreiche Exportfunktionen 
praxisgerechte Datenschutz-Folgenabschätzung 
Abbildung komplexer Konzernstrukturen 


Vorlagen für Verfahrensbeschreibungen 
sowie Musterdokumente 


privacy Beleg: 


Ein Produkt der datenschutz nord GmbH 
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Datenschutznachrichten 


Datenschutznachrichten aus Deutschland 


Bund 


TK-Überwachung weiterhin 
auf hohem Niveau 


Die Überwachung von Mobiltelefon- 
nutzern mit verdeckten Mitteln durch 
Strafverfolgungsbehörden des Bundes 
bleibt auf hohem Niveau. Gemäß einer 
Antwort der Bundesregierung auf eine 
Anfrage der Linksfraktion im Bundestag 
führte die Bundespolizei im Jahr 2022 im 
Rahmen von strafprozessualen Ermitt- 
lungsverfahren in 105 Fällen Funkzellen- 
abfragen durch. Bei dieser Methode wer- 
den die Verbindungsdaten aller zu einem 
bestimmten Zeitpunkt in einer Funkzelle 
eingebuchten Handy-Nutzer gespeichert 
und gerastert. 54 solcher Maßnahmen 
fanden im ersten, 51im zweiten Halbjahr 
statt. 2021 waren es insgesamt 55 Fälle. 
Das Bundeskriminalamt (BKA) führte 
nur im ersten Halbjahr 2022 eine Funk- 
zellenauswertung durch. 

Das BKA verschickte 2022 in zahlrei- 
chen Ermittlungsverfahren und einem 
Gefahrenabwehrvorgang 51.950 „stille 
SMS”, um Personen zu orten. 2021 wa- 
ren es noch 68.152. Solche Kurzmittei- 
lungen gehen an die anvisierten Mobil- 
telefone, werden dort aber nicht ange- 
zeigt. Das betroffene Gerät meldet sich 
bei der eingebuchten Funkzelle zurück, 
erzeugt so auswertbare Verbindungsda- 
ten und verrät Ermittlern den ungefäh- 
ren Standort der Nutzer, ohne dass diese 
das mitbekommen. Die Bundespolizei 
versandte 2022 in Eigenregie 19.703 
dieser „Stealth Pings” in strafprozessua- 
len Ermittlungsverfahren; zudem setzte 
sie 1360-mal auf externe Dienstleister. 
In einer gemeinsamen Ermittlungsgrup- 
pe mit der Landespolizei Baden-Würt- 
temberg kamen noch einmal 62 hinzu. 
Im Vergleich zu 2021 waren dies deut- 
lich weniger. Die Beamten der Behörde 
griffen damals noch 47.951-mal zu die- 
sem Instrument. 

Beim Zoll behandelt das federführen- 
de Bundesinnenministerium (BMI) die 
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einschlägige Statistik seit 2012 als Ver- 
schlusssache. Daran hat sich unter der 
Ampel-Koalition nichts geändert. Das 
BMI zeigte sich zwar erneut bereit eine 
„abstrahierte Aussage” zu stillen SMS 
beim Bundesamt für Verfassungsschutz 
zu übermitteln. Allerdings erfolgte die- 
se nur eingestuft als Verschlusssache 
„für den Dienstgebrauch”. Vor 2019 er- 
reichte der Inlandsgeheimdienst Werte 
von bis zu 180.000 „Stealth Pings“. 

IMSI-Catcher brachte die Bundespo- 
lizei 2022 in 38 Fällen, das BKA „in je 
einem bereits abgeschlossenen Gefah- 
renabwehrvorgang und Ermittlungsver- 
fahren” zum Einsatz, um den Standort 
eines aktiv geschalteten Mobiltelefons 
und die Geräte- oder Kartennummer 
zu ermitteln. Die Vergleichszahlen für 
2021 lagen bei 44 beziehungsweise fünf 
Vorgängen. Die Generalbundesanwalt- 
schaft ordnete ferner im vorigen Jahr 
in 42 Fällen den Einsatz eines IMSI-Cat- 
chers an. Zudem machte die Bundespo- 
lizei im ersten Halbjahr 2022 in einem 
Verfahren von einem „WLAN-Catcher” 
Gebrauch. Im zweiten Halbjahr sei das 
Werkzeug nicht genutzt worden. Im Wi- 
derspruch dazu spricht das BMI später 
aber von zwei Maßnahmen der Behörde, 
von denen insgesamt drei Personen be- 
troffen gewesen seien. 

Die Regierung teilte nur in eingestuf- 
ter Form „für den Dienstgebrauch” mit, 
wie oft Bundesbehörden Staatstrojaner 
für die Quellen-Telekommunikations- 
überwachung (TKÜ) oder heimliche 
Online-Durchsuchungen genutzt ha- 
ben. Außen vor blieben auch die Ge- 
heimdienste, da eine Antwort dazu aus 
Sicherheitsgründen weiterhin nicht 
möglich sei. Bei der Soft- und Hardware 
für derlei Zwecke hätten sich gegenüber 
dem Vorjahr keine Änderungen ergeben. 
Bekannt ist, dass die Sicherheitsbehör- 
den hier auf Eigenentwicklungen und 
kommerzielle Spyware wie Pegasus von 
der NSO Group setzen. Laut der aktuel- 
len amtlichen Statistik für die Bundes- 
länder und den Generalbundesanwalt 


gab es 2020 dort 25 Anordnungen zur 
Quellen-TKÜ (Krempl, Heimliche Über- 
wachung: Deutlich mehr Funkzellenab- 
fragen, weniger stille SMS, www.heise. 
de 07.04.2023, Kurzlink: https://heise. 
de/-8717037). 


Bund 


Extensive PNR-Erfassung 
wird eingeschränkt 


Das Bundeskriminalamt (BKA) muss 
seine über Jahre hinweg praktizierte an- 
lasslose und massenhafte Fluggastüber- 
wachung aufgrund eines Urteils des 
Europäischen Gerichtshofs (EuGH v. 
21.06.2022, DANA 3/2022, 201 ff.) so- 
wie nationaler Rechtsprechung deutlich 
zurückfahren. Im Jahr 2022 konnte die 
Polizeibehörde bei der umstrittenen 
Himmels-Rasterfahndung aber noch 
einmal aus dem Vollen schöpfen: Luft- 
fahrtunternehmen übermittelten in 
dem Jahr 424.305.929 sogenannte Pas- 
senger Name Records (PNR) an die beim 
BKA angesiedelte Fluggastdatenzent- 
ralstelle. Davon waren über 121 Millio- 
nen Flugpassagiere betroffen, wobei es 
zu Mehrfachnennungen aufgrund von 
Vielfliegern kommen konnte. 

Die Zahlen stammen aus einer Ant- 
wort der Bundesregierung auf eine An- 
frage der Linksfraktion des Bundestags. 
Die Zahlen liegen rund die Hälfte über 
denen von 2021, als die Airlines noch 
211 Millionen Datensätze von etwa 62 
Millionen Flugreisenden an die Sam- 
melstelle geschickt hatten. 2020 waren 
es rund 100 Millionen PNR. Mit Stand 
vom 30.06.2022 waren so gemäß Regie- 
rungsmitteilung vom August 2022 rund 
575 Millionen Datensätze im Fluggast- 
daten-Informationssystem gespeichert. 
Der Berg muss nun aber nach dem EuGH- 
Urteil schrumpfen, das die Hürden für 
die bisher praktizierte PNR-Vorrats- 
speicherung deutlich höher legte. Das 
Verwaltungsgericht Wiesbaden stufte 
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die BKA-Rasterfahndung daraufhin mit 
Urteil vom 06.12.2022 als rechtswidrig 
ein (DANA 1/2023, 65). 

Um die PNR-Auswertung den EuGH- 
Anforderungen anzupassen, hat das 
Bundesinnenministerium (BMI) laut 
der Antwort „gemeinsam mit den be- 
troffenen Behörden ein Maßnahmenpa- 
ket erarbeitet”. Soweit die Luxemburger 
Richter „einen objektiven Zusammen- 
hang zwischen strafbarer Handlung 
und der Beförderung von Fluggästen” 
forderten, werde dies inzwischen bei 
der Verarbeitung von Fluggastdaten 
geprüft. Die „Trefferausleitung” sei ent- 
sprechend eingeschränkt worden. Die 
Behörden arbeiteten zudem daran die 
EuGH-Ansage umzusetzen, dass PNR 
grundsätzlich nur noch sechs Monate 
gespeichert werden dürfen. Von Ap- 
ril 2023 an greife eine entsprechende 
Löschkennzeichnung. Nur bei „verifi- 
zierten und ausgeleiteten Registertref- 
fern“ soll noch eine Aufbewahrung von 
bis zu fünf Jahren möglich sein. 

PNR zu Flügen innerhalb der EU ver- 
arbeitet das BKA der Regierung zufolge 
nur noch, „wenn es hinreichend kon- 
krete Umstände für die Annahme gibt“, 
dass Deutschland „mit einer als real 
und aktuell oder vorhersehbar einzu- 
stufenden terroristischen Bedrohung 
konfrontiert ist”. Das BMI erarbeite zu- 
dem einen Referentenentwurf für eine 
Novelle des Fluggastdatengesetzes und 
werde diesen dann im Ressortkreis ab- 
stimmen. Einen konkreten Zeitplan 
dafür gebe es noch nicht. Den Entwurf 
der EU-Kommission, parallel mehr API- 
Daten (Advance Passenger Information) 
zu sammeln und über einen zentra- 
len Router an zuständige Behörden zu 
übermitteln, müsse man noch genauer 
bewerten. 

Die Zahl der „fachlich positiv über- 
prüften und deshalb ausgeleiteten Vor- 
gänge” auf Basis des Abgleichs der PNR 
mit anderen Datenbanken zur Personen- 
und Dokumentenfahndung sowie einer 
vom BKA durchgeführten Mustererken- 
nung war auch 2022 mit 87.845 über- 
schaubar. 19.827 verdächtige Passagie- 
re traf die Polizei vor Ortan, 1.387 nahm 
sie fest, während es 2021 1.052 waren. 
Dies verursachte beträchtliche Ausga- 
ben: Bis zur Inbetriebnahme der Flug- 
gastdatenzentralstelle im August 2018 
sind im BKA für deren Aufbau Kosten 
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von 13,75 Millionen Euro entstanden, 
dem Bundesverwaltungsamt (BVA) für 
den Aufbau des zugehörigen Informa- 
tionssystems 40,55 Millionen Euro. Die 
laufenden Betriebskosten lagen allein 
2022 bei 3,2 beziehungsweise 11,4 Mil- 
lionen Euro - der Einsatz internen Per- 
sonals nicht eingerechnet. 

Die Linken-Innenpolitikerin Martina 
Renner kritisierte: „Das PNR-System 
schluckt weiterhin die Daten von Milli- 
onen unbescholtener Bürgerinnen und 
Bürger.” Erste Ansätze zur Einschrän- 
kung und Löschung nach sechs Mona- 
ten seien zwar Fortschritte, „aber das 
Grundproblem besteht fort“. Letztlich 
werde nur ein Bruchteil der Daten über- 
haupt genutzt und nur ein Fünftel der 
gesuchten Personen tatsächlich an den 
Flughäfen von der Polizei angetroffen. 
Die Bundesregierung habe ihre eigenen 
Vorhaben im Koalitionsvertrag offenbar 
bereits vergessen: „Chatkontrolle, Vor- 
ratsdaten oder PNR zeigen, wie ernst sie 
den Schutz der Bürger und ihrer Daten 
tatsächlich nimmt.” Die Linksfraktion 
hält die PNR-Speicherung generell für 
„in hohem Maße unverhältnismäßig” 
und zu personalintensiv angesichts 
hunderter Planstellen beim BVA und 
BKA (Krempl, Himmels-Rasterfahn- 
dung: BKA erhielt 424 Millionen neue 
Fluggastdaten in 2022, www.heise.de 
02.05.2023, Kurzlink: https://heise. 
de/-8985231) 


Bund 


CDU kritisiert Faesers 
Social-Media-Account- 
Wechsel 


Die CDU hat den Bundesbeauftrag- 
ten für den Datenschutz (BfDI), Ulrich 
Kelber, aufgefordert die Social-Media- 
Konten der hessischen SPD-Spitzen- 
kandidatin Nancy Faeser zu überprüfen. 
Faesers Konten waren bis Februar 2023 
vom Bundesinnenministerium betreut 
worden. CDU-Innenpolitiker Philipp 
Amthor kritisierte, dass diese Konten 
mit der amtlichen Kommunikation „un- 
gefiltert an die SPD Hessen übertragen” 
worden sei. Wäre dies eine rechtskon- 
forme Übertragung, hätte auch Angela 
Merkel nach Amtsende ihre Konten auf 
die CDU umschreiben können: „Dage- 


gen würde jedes Rechtsempfinden spre- 
chen“. Amthor spricht vom „Trick einer 
fingierten Einwilligung”. Es sei nicht im 
Sinne des Schutzes von Kommunikati- 
onsdaten, dass amtliche Informationen 
einseitig an eine Partei im Wahlwett- 
bewerb übertragen werden können. 
Faeser hatte im Februar angekündigt 
am 08.10.2023 für die SPD bei der hes- 
sischen Landtagswahl zu kandidieren. 
Die Sozialdemokratin will nur im Falle 
eines Sieges nach Hessen gehen (Der 
Spiegel Nr. 18 29.04.2023, 9). 


Bund 


Erster BND-Kontrollrats- 
bericht 


Der Anfang 2022 eingerichtete Un- 
abhängige Kontrollrat (UKR) für den 
Bundesnachrichtendienst (BND), der 
Anordnungen der Spitze des Auslandsge- 
heimdienstes für Maßnahmen zur Über- 
wachung vorab prüfen muss, hat gemäß 
Medienberichten einen ersten schrift- 
lichen 60-seitigen Bericht an das Parla- 
mentarische Kontrollgremium (PKGr) des 
Bundestags übermittelt. Demnach soll 
das vor allem mit Richtern des Bundes- 
gerichtshofs beziehungsweise des Bun- 
desverwaltungsgerichts besetzte Gremi- 
um bislang nur einen von 121 Überwa- 
chungsanträgen beanstandet und so fast 
alle Ersuchen genehmigt haben. 

Der Bundestag hatte 2021 eine Re- 
form des BND-Gesetzes beschlossen, 
mit welcher der Auslandsgeheimdienst 
eine breite Befugnis zum Hacken aus- 
ländischer Vermittlungsanlagen, Tele- 
kommunikationsinfrastruktur und IT- 
Systeme von Providern erhielt. Der BND 
darf demnach auch offiziell in Computer 
und Handys von Ausländern im Ausland 
mit technischen Mitteln wie dem Bun- 
destrojaner eindringen und heimliche 
Online-Durchsuchungen durchführen. 
Zu den vom UKR bequtachteten Fällen 
gehören auch Hacking-Operationen, bei 
denen die Agenten in Chats über Mes- 
senger und andere Online-Kommunika- 
tion eindringen. Eingeschlossen waren 
gemäß dem Bericht ferner Anträge zum 
klassischen Abhören von Telefonaten 
und Funksprüchen oder zum Mitlesen 
von E-Mails. 

54% der BND-Maßnahmen aus dem 
vergangenen Jahr sollen die seit Jah- 
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ren umstrittene verdachtsunabhängige 
Massenüberwachung in Form der stra- 
tegischen Fernmeldeaufklärung be- 
treffen. Das Bundesverfassungsgericht 
hatte den dafür von dem Geheimdienst 
verwendeten Datenstaubsauger für ver- 
fassungswidrig erklärt (DANA 3/2020, 
202 ff.). Der Bundestag hielt das Instru- 
ment aber grundsätzlich für unverzicht- 
bar. Nach wie vor darf der BND so ab- 
gezogene Netzkommunikation anhand 
von Selektoren durchsuchen, obwohl 
die Ergebnisse trotz tausender einge- 
setzter Suchbegriffe wenig ergiebig zu 
sein scheinen. 

Der UKR kann in Folge des Karlsru- 
her Urteils die ausgewählten Selekto- 
ren einsehen, um einen zweiten GAU 
wie nach dem ungeprüften Einsatz 
von NSA-Suchbegriffen zu verhin- 
dern. Der BND habe sich hier jederzeit 
kooperativ gezeigt, so der Bericht. 
Der Geheimdienst habe umfangreich 
Zugang gewährt, und zwar zu Unterla- 
gen, Daten und Technik. Auch die Se- 
lektoren ausländischer Partnerdiens- 
te, mit denen der BND die weltweite 
Kommunikation durchsucht, konnten 
die Prüfer offenbar einsehen. Ins- 
besondere bei der Abteilung für die 
Technische Aufklärung, diein Pullach 
verblieben ist, sei der Frust über die 
zusätzliche Mehrarbeit bei der Bean- 
tragung von Überwachungsaktionen 
mit teils seitenlangen Begründungen 
aber groß. 

40% der Spähersuchen sollen Einzel- 
personen betroffen haben, die gezielt 
überwacht wurden. Die übrigen 60% 
seien „qualifizierte Aufklärungsmaß- 
nahmen“ gewesen, also besonders 
aufwändige Operationen etwa mithil- 
fe von Staatstrojanern auf Computern 
oder Mobiltelefonen. Die einzige Bean- 
standung habe sich auf eine Überwa- 
chungsanordnung für eine „juristische 
Person“ in Deutschland bezogen, also 
eine Firma, deren Verbindungen ins 
Ausland ausspioniert werden sollten. 
Dies sei nach Ansicht des Rats nicht 
vom BND-Gesetz gedeckt gewesen. Es 
hätten für die beantragte Spähaktion 
einzelne Zielpersonen benannt werden 
müssen (Krempl, Bundesnachrich- 
tendienst: Kontrollrat winkt fast alle 
Überwachungsersuchen durch, www. 
heise.de 21.04.2023; Kurzlink: https:// 
heise.de/-8975862). 
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Bund 


Novellierung des Bundes- 
polizeigesetzes 


Die Fraktionen der Regierungskoaliti- 
on aus SPD, Grünen und FDP haben sich 
nach langen Auseinandersetzungen 
darauf geeinigt, dass die Bundespolizei 
keinen Staatstrojaner einsetzen darf. 
Im Gegensatz zur vorherigen schwarz- 
roten Koalition soll die Bundespolizei 
keine staatliche Malware direkt auf 
dem Endgerät eines Verdächtigen in- 
stallieren dürfen, um Daten vor einer 
Verschlüsselung oder nach einer Ent- 
schlüsselung zu kopieren (Telekommu- 
nikationsüberwachung an der Quelle, 
Quellen-TKÜ). 

Der Koalitionsvertrag stellt klar: 
„Das Bundespolizeigesetz novellieren 
wir ohne die Befugnis zur Quellen-TKÜ 
und Online-Durchsuchung“. Trotzdem 
drängte das Bundesinnenministerium 
darauf. Der Bundestag hatte Juni 2021 
bereits einen Entwurf zur Novelle des 
Bundespolizeigesetzes beschlossen, der 
eine Erlaubnis zum Einsatz von Staats- 
trojanern enthielt. Die Bundespolizei 
sollte so an Kommunikation herankom- 
men, die über verschlüsselte Dienste 
wie WhatsApp, Signal oder Threema 
läuft. Der Bundesrat stimmte der Ini- 
tiative aber wegen damit verknüpfter 
weiter Einschnitte in die Kompetenzen 
der Länderpolizeien nicht zu. Der frühe- 
re Bundesinnenminister Horst Seehofer 
(CSU) wollte neben der Lizenz für die 
heimliche Online-Durchsuchung und 
die Quellen-TKÜ auch die biometrische 
Gesichtserkennung zulassen. Die SPD 
hatte bei letzterer aber Bedenken, so- 
dass der Kompromiss auf die Quellen- 
TKÜ hinauslief. Dagegen legten nun 
Grüne und FDP unter Verweis auf den 
Koalitionsvertrag ihr Veto ein. 

Neu gefasst werden sollen mit dem 
jetzigen Anlauf die Vorschriften zum 
Erheben und Auswerten von Bestands-, 
Nutzungs- und Verkehrsdaten. Bund 
und Länder hatten sich schon im März 
2021 im Vermittlungsausschuss auf 
Korrekturen an einem umstrittenen 
Gesetzentwurf verständigt, mit dem 
die Regeln für die Bestandsdatenaus- 
kunft an die Vorgaben des Bundesver- 
fassungsgerichts von 2020 angepasst 
werden sollen. Damit darf neben dem 


Bundeskriminalamt auch die Bundes- 
polizei im Kampf gegen schwere Strafta- 
ten Passwörter bei Telemediendiensten 
wie WhatsApp, eBay, Facebook, Gmail, 
YouTube oder Tinder abfragen. 

Die Innenpolitiker des Regierungs- 
bündnisses vereinbarten zudem eine 
Klausel gegen Racial Profiling. Diese 
soll Polizeikräften eine rechtssichere 
Grundlage für Kontrollen geben, ohne 
dass dabei der Verdacht entsteht, sie 
würden ausschließlich aufgrund äu- 
ßerer Merkmale durchgeführt. Ein ent- 
sprechendes Erscheinungsbild soll einer 
Überprüfung abernnicht im Wege stehen, 
wenn Erfahrung oder aktuelle Ereignis- 
se sie angemessen erscheinen lassen. 
Im Gegenzug können überprüfte Per- 
sonen eine Kontrollquittung erhalten, 
wenn sie das verlangen. Damit soll der 
Verlauf einer Personenprüfung doku- 
mentiert werden ohne Polizeiarbeit un- 
ter Generalverdacht zu stellen. 

Die EU-Kommission hat 2022 ein 
Vertragsverletzungsverfahren gegen 
Deutschland eingeleitet, weil es die 
EU-Richtlinie zum Datenschutz bei Po- 
lizei und Justiz von 2016 nicht komplett 
umgesetzt hat. Grund dafür sind fehlen- 
de Vorgaben für die Bundespolizei. Der 
Bundesdatenschutzbeauftragte Ulrich 
Kelber kann dort Datenschutzverstöße 
bisher nur beanstanden; ihm fehlen 
wirksame Durchsetzungsbefugnisse. 
SPD-Innenexperte Sebastian Hartmann 
erläuterte, dass sich die Regierungsres- 
sorts bei der überfälligen Reform ver- 
hakt hätten. Jetzt hätten die Fraktionen 
selbst eine Lösung gefunden. Seitens 
der Grünen ist von einer „Richtungs- 
entscheidung für die Modernisierung 
der Bundespolizei” die Rede, seitens 
der FDP von einer Einigung, die Freiheit 
und Sicherheit der Bürger gleicherma- 
ßen stärke (Krempl, Kein Staatstrojaner 
für deutsche Bundespolizei, www.heise. 
de 25.04.2023, Kurzlink: https://heise. 
de/-8978967). 


Bundesweit 


Datenschutzaufsicht stellt 
Fragen an OpenAl wegen 
ChatGPT 


Ende April 2023 wurde OpenAlI, der 
Anbieter von ChatGPT, von den deut- 
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schen Datenschutzaufsichtsbehörden 
der Länder, die für privatwirtschaftli- 
che Unternehmen zuständig sind, zur 
Beantwortung eines Fragenkatalogs 
zur Datenschutzkonformität der An- 
wendung aufgefordert. Die Aufsichts- 
behörden haben sich auf ein gemeinsa- 
mes Musterschreiben geeinigt und ein 
Verwaltungsverfahren gegen den in San 
Francisco ansässigen Konzern eröffnet. 

Die Fragen an OpenAl betreffen laut 
dem hessischen Datenschutzbeauftrag- 
ten Alexander Roßnagel die Gewährleis- 
tung des Grundrechts- und Datenschut- 
zes bei der Nutzung dieses Dienstes: „Je 
nach Fragen- oder Aufgabenstellung 
an ChatGPT gibt die nutzende Person 
unterschiedlich viele, teils sensitive 
Informationen von sich preis - etwa zu 
Interessen an politischen, religiösen, 
weltanschaulichen oder wissenschaft- 
lichen Fragen oder zu ihrer familiären 
oder sexuellen Lebenssituation. Auch 
können Fragen über andere Personen 
gestellt werden. Unklar ist, zu welchen 
Zwecken eingegebene Daten verarbeitet 
werden und aus welchem Datenpool die 
hinter dem Dienst liegende, künstliche 
Intelligenz ihr Wissen speist. Erst wenn 
diese Fragen beantwortet wurden, kann 
ich prüfen, ob sich OpenAI mit ChatGPT 
an die europäischen Datenschutzvorga- 
ben hält.” 

Wichtig sei, ob die Datenverarbeitung 
den datenschutzrechtlichen Grundprin- 
zipien gerecht werde, ob sie auf einer 
gültigen Rechtsgrundlage beruhe und 
ob sie für die Betroffenen ausreichend 
transparent sei. Zum Schutz von Kin- 
dern und Jugendlichen werde gefragt, 
welche Altersgrenze für die Nutzung 
von ChatGPT bestimmt ist, wie die Ein- 
haltung der Altersgrenze überprüft wird 
und ob für alle Nutzenden unter 16 Jah- 
ren die Einwilligung der Erziehungs- 
berechtigten eingeholt wird. Zudem 
wolle man von OpenAl erfahren, ob die 
Nutzungsdaten als Trainingsdaten im 
Rahmen des maschinellen Lernens ver- 
wendet werden, welche Quellen für die 
Auskünfte über Personen genutzt wer- 
den und für welche Zwecke - wie etwa 
Profilbildung und Werbung - die Nut- 
zungsdaten gespeichert werden. 

Die Datenschutzkonferenz (DSK) des 
Bundes und der Länder befasst ihre KI- 
Taskforce mit dem Thema ChatGPT; die 
Taskforce soll dabei das Vorgehen der 
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Aufsichtsbehörden koordinieren. Da 
OpenAl keine Niederlassung in der EU 
hat, sind die jeweiligen Datenschutz- 
aufsichtsbehörden der Mitgliedsstaaten 
dafür zuständig in ihrem Zuständig- 
keitsbereich die Einhaltung der Da- 
tenschutz-Grundverordnung (DSGVO) 
durch den Konzern zu überwachen. In 
Italien sprach die Datenschutzbehörde 
Ende März ein vorläufiges Verbot aus 
(s.u. S. 107). 

Dieter Kugelmann, Leiter der Bun- 
desländer-Taskforce für „Künstliche 
Intelligenz” (KT), erklärte: „Wenn perso- 
nenbezogene Daten verwendet werden, 
auch als Trainingsdaten für die KI, dann 
bedarf es einer Rechtsgrundlage. Wir 
müssen wissen, wo die Daten herkom- 
men.” Ohne Rechtsgrundlage wäre der 
Betrieb von ChatGPT illegal. Kugelmann 
ist seit 2015 Landesbeauftragter für Da- 
tenschutz und Informationsfreiheit in 
Rheinland-Pfalz. Er hält das Vorgehen 
der Italiener für „riskant und rein recht- 
lich auf wackeligen Beinen“. Zuerst 
müsse die Funktionsweise von ChatGPT 
geklärt sein. „Das breitflächige Ausrol- 
len der Klim Blindflug - ohnerechtliche 
Grundlage - das ist das Hauptproblem.” 

Roßnagel ergänzte: „Sobald uns die 
Antwort von OpenAl vorliegt, werde ich 
mich mit den anderen Aufsichtsbehör- 
den in Deutschland und Europa in der 
Bewertung der Antworten abstimmen. 
Als Reaktion auf die Bewertung kann 
ich nach der DSGVO vielfältige und wirk- 
same Instrumente nutzen. Dabei geht 
es mir nicht darum der gesellschaft- 
lichen Bewertung von KlI-Systemen 
vorzugreifen. Vielmehr fordere ich von 
amerikanischen KI-Anbietern den glei- 
chen Datenschutz wie von europäischen 
Anbietern.” 

Die Datenschutzbeauftragte Schles- 
wig-Holsteins und Vorsitzende der Da- 
tenschutzkonferenz (DSK), Marit Han- 
sen, bestätigte, dass die Datenschutz- 
beauftragten der Länder „standardi- 
sierte Fragen“ an ChatGPT-Entwickler 
OpenAl versenden. Sie rechnet damit, 
dass die Beantwortung durch OpenAl 
„noch lange dauern“ könnte. Über eine 
tatsächliche Sperre könne man erst im 
„übernächsten Schritt” - nach Aus- 
wertung und Prüfung der erhaltenen 
Auskünfte - nachdenken. Zudem seien 
die konkreten Zuständigkeiten dafür in 
Deutschland nicht eindeutig. 


OpenAl wurde 2015 gegründet, unter 
anderen von Peter Thiel, Elon Musk und 
Amazon. Ursprünglich war es ein ge- 
meinnütziges Forschungsprojekt, des- 
sen Erkenntnisse frei zugänglich waren. 
Seit 2019 ist hingegen die gewinnorien- 
tierte Tochterfirma OpenAI LP der ope- 
rative Arm. Damals hatte sich Microsoft 
mit einer Milliarde US-Dollar in OpenAl 
eingekauft. 

Am 20.04.2023 hat Twitter-Chef 
Elon Musk angekündigt Microsoft zu 
verklagen, weil ChatGPT ohne ent- 
sprechende Lizenz auch anhand von 
Twitter-Daten trainiert worden sei. Der 
plötzliche Unmut dürfte daher rüh- 
ren, dass Microsofts Reklameplattform 
ab 25.04.2023 keine Verwaltung von 
Twitter-Konten mehr unterstützt. Hin- 
tergrund für diesen Schritt sind die ho- 
hen Gebühren, die Musk für den Zugriff 
auf Twitters Schnittstellen eingeführt 
hat (Müller, Hessischer Datenschützer 
fordert Antworten zu ChatGPT, Tages- 
spiegel Background Digitalisierung 
& KI, 21.04.2023; Sokolov, ChatGPT: 
Deutschlands Datenschützer eröffnen 
Verfahren gegen OpenAlI, www.heise.de 
20.04.2023, Kurzlink: https://heise. 
de/-8974708). 


Bundesweit 


DSK beschließt eigene 
Geschäftsstelle 


AufderZwischenkonferenz der Daten- 
schutzkonferenz (DSK) vom 22.03.2023 
hat sich diese für die Einrichtung einer 
DSK-Geschäftsstele ausgesprochen. 
Gemäß Marit Hansen, Leiterin des Un- 
abhängigen Landeszentrums für Da- 
tenschutz Schleswig-Holstein (ULD), 
die 2023 den Vorsitz der DSK innehat, 
soll die neue Einrichtung helfen die Ko- 
operation und Koordination der Daten- 
schutzaufsichtsbehörden zu verbessern 
und zu effektivieren. Die Geschäftsstelle 
soll von Bund und Ländern gemeinsam 
errichtet und unterhalten werden. Der 
Arbeitskreis DSK 2.0 hat seit einiger Zeit 
insofern Vorschläge entwickelt. Auf der 
vorangegangenen Datenschutzkonfe- 
renz 2022 war die Errichtung eines Prä- 
sidiums der DSK beschlossen worden, 
das 2023 als Pilotprojekt eingesetzt 
werden soll. Dieses soll aus fünf Mitglie- 
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dern, dem vorherigen, aktuellen und 
nächstjährigen Vorsitz sowie den bei- 
den Vertretern im Europäischen Daten- 
schutzausschuss (EDSA) bestehen (Da- 
tenschutzkonferenz richtet Geschäfts- 
stelle ein, Tagesspiegel, Digitalisierung 
& KI, 23.03.2023). 


Bundesweit 


noyb geht gegen Facebook- 
Werbung politischer 
Parteien vor 


Der Datenschutzverein noyb (none of 
you business) hat am 21.03.2023 bei 
deutschen Datenschutzbehörden Be- 
schwerden gegen AfD, CDU, Grüne, die 
Linke, ÖDP und SPD wegen ihrer Face- 
book-Werbung eingereicht, bei der die 
politischen Ansichten der Nutzer aus- 
gewertet wurden. Er wirft den Parteien 
vor während der Bundestagswahl 2021 
mithilfe von Microtargeting auf Face- 
book potenziellen Wählern personali- 
sierte Anzeigen mit Wahlversprechen 
vorgesetzt zu haben. Diese gezielte An- 
sprache sei mit der Datenschutz-Grund- 
verordnung (DSGVO) unvereinbar, da 
durch sie politische Meinungen beson- 
ders geschützt würden. Das Vorgehen 
sei rechtswidrig und berge „erhebliche 
Gefahren für die Demokratie” und die 
Privatsphäre der Betroffenen. 

Die TV-Sendung „ZDF Magazin Ro- 
yale“ hatte zwei Tage vor der Bundes- 
tagswahl den Microtargeting-Einsatz 
bei politischer Facebook-Reklame 
aufgedeckt. Nach der Sendung hatten 
zahlreiche Facebook-Nutzer einge- 
willigt noyb ihre Daten zu übergeben 
und dafür eine Browsererweiterung 
installiert (DANA 4/2021, 247 £.). Da- 
mit konnte der Verein eigenen Anga- 
ben zufolge konkrete DSGVO-Verstöße 
ausfindig machen. Die Auswertung 
ergab, dass viele deutsche Parteien Fa- 
cebook-Nutzer mit politischer Werbung 
adressierten, die auf deren Interessen 
zugeschnitten war. Dies sei zwar nicht 
verboten, betont noyb, doch konnten 
die Parteien die Nutzer nur auswäh- 
len, „weil Facebook im Hintergrund 
deren politische Ansichten ausgewer- 
tet hatte”. Der Verein sieht darin einen 
DSGVO-Verstoß sowohl der Parteien als 
auch des Plattformbetreibers. 
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Felix Mikolasch, Datenschutzjurist 
bei noyb, erläuterte dazu, dass Daten 
zur politischen Einstellung von Perso- 
nen nicht nur extrem sensibel seien. 
Sie erlaubten auch „großflächige Ma- 
nipulation von Wählern”. Dies habe der 
Fall Cambridge Analytica gezeigt. Die 
Beschwerden des Vereins sind fast alle 
an die Berliner Datenschutzbeauftragte 
Meike Kamp gerichtet, weil die Partei- 
en ihren Sitz in der Hauptstadt haben. 
Die Eingabe wegen der ÖDP ging an das 
für die Ökopartei zuständige Bayeri- 
sche Landesamt für Datenschutzauf- 
sicht. Von den im Bundestag sitzenden 
Parteien blieben die CSU und die FDP 
außen vor (Krempl, Microtargeting: 
Datenschutz-Lobby beschwert sich 
über deutsche Parteien, www.heise.de 
21.03.2023, Kurzlink: https://heise. 
de/-7601521). 


Bundesweit 


Schufa verkürzt Privatin- 
solvenzdaten-Speicherfrist 
von 3 Jahren auf 6 Monate 


Vor dem Hintergrund laufender Ge- 
richtsverfahren verkürzt die Schufa ab 
sofort die Speicherdauer für die Einträ- 
ge zu abgeschlossenen Privatinsolven- 
zen von drei Jahren auf sechs Monate. 
Schufa-Vorstand Ole Schröder teilte am 
28.03.2023 mit, damit wolle man Klar- 
heit und Sicherheit für die Verbrauche- 
rinnen und Verbraucher schaffen: „Wir 
ermöglichen so den Restschuldbefrei- 
ten einen schnellen wirtschaftlichen 
Neustart.“ Am Morgen dieses Tages 
hatte der Bundesgerichtshof (BGH) be- 
kannt gegeben, dass er ein Verfahren zu 
der bisher umstrittenen Frage der zuläs- 
sigen Speicherdauer vorerst aussetzt. 
Er will eine Entscheidung des Europäi- 
schen Gerichtshofs (EuGH) in zwei ähn- 
lichen Fällen abwarten. 

Durch eine Verbraucherinsolvenz 
können sich Privatpersonen von ihren 
Schulden befreien, auch wenn sie nicht 
alles zurückzahlen können. Am Ende 
steht die sogenannte Restschuldbefrei- 
ung. Die Information darüber wird sechs 
Monate lang auf einem amtlichen In- 
ternetportal veröffentlicht. Die Schufa 
und andere Auskunfteien erheben diese 
Bekanntmachungen und speichern sie 


drei Jahre lang. Mitte März 2023 hatte 
sich der zuständige EuGH-Generalan- 
walt sehr kritisch zu der langen Spei- 
cherung geäußert. Für Betroffene habe 
das erhebliche negative Folgen. Die 
EuGH-Richter sind an die Einschätzung 
des Generalanwalts nicht gebunden, 
folgen ihr aber oft. 

Die Insolvenzangaben fließen in den 
Schufa-Score ein. Dessen Rechtmäßig- 
keit wird ebenfalls angezweifelt. Die 
Berechnungsmethode hierfür wird als 
Geschäftsgeheimnis behandelt, was der 
Bundesgerichtshof (BGH) vor Jahren 
akzeptierte. Das Verwaltungsgericht 
Wiesbaden legte den Fall dem EuGH 
vor, um grundsätzlich das Verhältnis 
zur europäischen Datenschutz-Grund- 
verordnung (DSGVO) klären zu lassen. 
Die DSGVO schreibt in Art. 22 vor, dass 
Entscheidungen, die für Betroffene 
rechtliche Wirkung entfalten, nicht nur 
durch die automatisierte Verarbeitung 
von Daten getroffen werden dürfen. 
Die Kreditwirtschaft und der Online- 
Handel nutzen den Score als Grundlage 
für Entscheidungen über die Behand- 
lung von Kunden. Der Generalanwalt 
befand, dass bereits die automatisierte 
Erstellung eines Wahrscheinlichkeits- 
werts über die Kreditwürdigkeit - des 
Score-Werts - eine solche verbotene 
automatische Entscheidung darstellt 
(Tobias Költzsch/dpa, Schufa speichert 
Privatinsolvenzen nur noch 6 Monate 
lang, www.golem.de 28.03.2023; Ja- 
nisch/Wischmeyer, Schufa knickt ein, 
SZ 29.03.2023, 16). 


Baden-Württemberg 
Keber folgt Brink 


Nach dem Weggang von Stefan Brink 
Ende 2022 war die Stelle des Lan- 
desbeauftragten für Datenschutz in 
Baden-Württemberg unbesetzt. Die 
Landesregierung hat den Professor der 
Hochschule der Medien in Stuttgart, 
den 49-jährigen Wissenschaftler und 
Juristen Tobias Keber, benannt. Er ist 
seit über zehn Jahren in Stuttgart Lehr- 
beauftragter für Medienrecht und Medi- 
enpolitik in der digitalen Gesellschaft 
sowie Lehrbeauftragter für Internet- 
recht im Masterstudiengang Medien- 
recht am Medieninstitut an der Johan- 
nes Gutenberg-Universität Mainz. Er 
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ist Vorsitzender des Wissenschaftlichen 
Beirats der Gesellschaft für Datenschutz 
und Datensicherheit (GDD), im Heraus- 
geberbeirat der Fachzeitschrift Recht 
der Datenverarbeitung (RDV) sowie im 
Leitungsgremium des Instituts für Digi- 
tale Ethik (IDE) an der Hochschule der 
Medien Stuttgart. Keber war vor seiner 
akademischen Laufbahn als praktizie- 
render Rechtsanwalt tätig und ist Autor 
von Fachpublikationen zum nationalen 
und internationalen Medien-, IT- und 
Datenschutzrecht. 

Die Grünen hatten bei der Personalie 
das Vorschlagsrecht. Keber muss vom 
Landtag bestätigt werden. Sein Vor- 
gänger, das FDP-Mitglied Brink, hatte 
sein Amt nach einer Amtsperiode von 
sechs Jahren niedergelegt. Brink galt 
als unbequemer Kritiker der Landespo- 
litik. Vor allem den baden-württember- 
gischen Innenminister Thomas Strobl 
(CDU) hatte er in Bedrängnis gebracht. 
In einem Gutachten zur sogenannten 
Polizeiaffäre hatte Brink dem Minister 
vorgeworfen mit der Weitergabe eines 
Anwaltsschreibens gegen den Daten- 
schutz verstoßen zu haben. Keber hat 
nun über das offizielle Datenschutz- 
verfahren gegen Strobl zu entscheiden 
(Stuttgarter Medienrechts-Professor 
wird oberster Datenschützer in BW, 
www.swr.de 28.03.2023). 


Bayern 


Datenschutzkontrolle nach 
Datenleck bei „Letzter Ge- 
neration” 


Das Bayerische Landesamt für Daten- 
schutzaufsicht (BayLDA) hat ein Prüf- 
verfahren gegen die „Letzte Generation” 
nach Berichten über ein Datenleck bei 
der Klimaschutzbewegung eingeleitet. 
Diese sammelte demnach persönliche 
Daten von über 2.200 Anhängern und 
Interessenten mit teils hochsensiblen 
politischen Einschätzungen auf einer 
Excel-Liste, die sie frei zugänglich auf 
den Cloud-Dienst Google Drive einstellte. 
Darauf verzeichnet waren Anmerkungen 
wie: „Zu ängstlich für Gefängnis.” 

Die Kontrolleure wollen klären, ob 
die Daten wirklich für jedermann ein- 
sehbar oder Zusatzkenntnisse wie „ein 
spezifischer Zugangslink erforderlich” 
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waren. Eine BayLDA-Sprecherin mein- 
te, im zweiten Fall wäre dann die Aus- 
gestaltung der Weitergabe der URL zu 
bewerten: „Letztendlich bewerten wir 
bei einem solchen Vorfall das Risiko für 
die betroffenen Personen.” Sei dieses 
hoch, müssten sie über den Vorfall un- 
terrichtet werden. „Zusätzlich legen wir 
bei der Aufarbeitung von Sicherheits- 
verletzungen grundsätzlich großen 
Wert darauf, dass sich diese nicht ohne 
Weiteres nochmals ereignen können.” 
Dabei gehe es etwa um die zusätzliche 
Absicherung einer Datei in der Cloud 
mit einem „starken Passwort”. Generell 
sei das BayLDA für die Webseite https:// 
letztegeneration.de/ zuständig. Ob 
das auch so bei der Frage der sonstigen 
Verarbeitung personenbezogener Da- 
ten bleibe, werde sich erst im Laufe des 
Verfahrens herausstellen. Im Impres- 
sum des Webauftritts der Gruppe ist ein 
Techniker mit Wohnsitz in Augsburg als 
Verantwortlicher eingetragen. 

Der Berliner Rechtsanwalt Niko Här- 
ting bewertet die Panne als „Daten-Su- 
per-GAU”. Die besonders schützenswer- 
ten persönlichen Informationen dürften 
auch nicht auf einem Google-Drive-Kon- 
to gespeichert werden, das mit restrikti- 
ven Zugriffsrechten besser abgeschirmt 
ist. Er bemängelte in diesem Sinne auch 
die Datenschutzerklärung auf der Web- 
seite der Klima-Aktivisten: „Da es die 
Excel-Liste gibt, wissen wir, dass man 
Profile zu einzelnen Personen erstellt.” 
In der Erklärung finde sich aber nur der 
Hinweis: „Deine Daten werden zum einen 
dadurch erhoben, dass du uns diese mit- 
teilst.” Über eine Profilbildung informie- 
re die Gruppe also nicht, genauso wenig 
über deren Zwecke und wer die Zusam- 
menstellung erhalten und nutzen könne. 

Laut der BayLDA-Sprecherin gab es 
bislang für die Behörde „keinen Anlass 
die Datenschutzerklärung zu prüfen”. 
Aufgrund der Vielzahl von Webseiten 
gebe es keine anlasslosen Kontrollen. 
Sollte dazu aber etwa eine Datenschutz- 
beschwerde eingehen oder andere Fak- 
toren vorhanden sein, die ein höheres 
Risiko in diesem Zusammenhang erge- 
ben, „dann wird diese Prüfung entspre- 
chend der angezeigten Priorisierung 
unserer Aufgaben durchgeführt”. Zum 
Fall der Letzten Generation hätten das 
Amt noch keine Eingaben Betroffener 
erreicht. 


Gemäß Art. 33 DSGVO müssen Ver- 
antwortliche bei einem Verstoß diesen 
nach Bekanntwerden „unverzüglich 
und möglichst binnen 72 Stunden” 
melden. Ob die Letzte Generation sich 
fristgerecht an die Behörde wendete, 
ist offen. Das BayLDA erteilt dazu nach 
eigenen Angaben grundsätzlich keine 
Auskunft. Die Letzte Generation äußer- 
te sich auf Anfrage nicht zu dem The- 
ma und zu möglicherweise inzwischen 
ergriffenen Vorsichtsmaßnahmen. Ein 
Sprecher bat um einen weiteren „Mo- 
ment Geduld“. 

Politiker äußerten sich kritisch, 
so z.B. Konstantin von Notz, Vize der 
Grünen-Bundestagsfraktion: „Wer Men- 
schen anleiten und vernetzen will, dem 
kommt eine besondere Verantwortung 
beim Schutz ihrer persönlichen Daten 
zu.” Die Zuständigen der Letzten Gene- 
ration seien dem absolut nicht gerecht 
geworden. Auch an ersten beschwich- 
tigenden, den gravierenden Vorfall 
herunterspielenden Statements werde 
deutlich: Offenkundig hätten sich die 
Verantwortlichen „bislang viel zu wenig 
mit grundlegenden Fragen von Grund- 
rechtsschutz und IT-Sicherheit be- 
schäftigt“. Nachhaltigkeit im Digitalen 
bedeute aber auch „sichere und daten- 
schutzkonforme Systeme zu nutzen”. 
Manuel Höferlin, innenpolitischer Spre- 
cher der FDP-Bundestagsfraktion, kün- 
digte eine schärfere Beobachtung der 
Organisation an: „Wer die Bereitschaft 
seiner Mitglieder erfasst, ins Gefängnis 
zu gehen, und sie für Blockadeaktionen 
schult, der hat offensichtlich strafrecht- 
lich relevante Absichten. Da sich die 
Letzte Generation immer weiter radika- 
lisiert, ist es richtig, dass wir ihre Blo- 
ckadeaktionen zukünftig in einem bun- 
desweiten Lagebild erfassen.” Das Leck 
zeige aber auch, wie wichtig digitale 
Bildung sei: „Angehende Klimachaoten 
sollten neben dem How-to-Festnahme- 
Seminar vielleicht auch einen Crashkurs 
in Datenschutz absolvieren.” 

Die Psychologin Maria-Christina Nim- 
merfroh hält es für falsch die Vereini- 
gung als kriminell abzustempeln, wie es 
zuvor Politiker von CDU und SPD getan 
hatten: „Das stärkt deren Gemeinschaft 
eher statt sie aufzubrechen.” Sinnvoller 
sei es etwa darauf hinzuweisen, dass 
Klebeblockaden noch mehr Staus und 
Abgase verursachten. Beim Marketing 
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und der Rekrutierung handle es sich 
um „eine absolut professionelle Orga- 
nisation”. Ein so straffes Vorgehen mit 
Telefon-Marketing, Ansprache vor Ort, 
raschem Nachfassen und emotionaler 
Bindung sowie Betreuung sei im zivilge- 
sellschaftlichen Bereich selten (Krempl, 
„Super-GAU”: Datenschützer nehmen 
Letzte Generation nach Leck ins Visier, 
www.heise.de 10.02.2023, Kurzlink: 
https://heise.de/-7491287). 


Niedersachsen 


Denis Lehmkemper folgt 
Barbara Thiel 


Die offizielle achtjährige Amtszeit 
der niedersächsischen Datenschutz- 
beauftragten Barbara Thiel war Ende 


2022 abgelaufen. Die 67-Jährige mit 
CDU-Parteibuch hatte danach erklärt: 
„Ich würde gern weiter tätig sein.” 
Doch daraus wurde nichts außer ei- 
ner kurzfristigen Verlängerung um ein 
halbes Jahr. 

Denis Lehmkemper, bisher Leiter der 
Abteilung für Raumordnung, Landes- 
entwicklung und Förderung im Agrar- 
ministerium, wurde am 03.05.2023 
vom Landtag in Hannover zum neuen 
Datenschutzbeauftragten des Landes 
gewählt. Die Landesregierung schlug 
den 50-jährigen Juristen, der der CDU 
angehört, dem Parlament vor - zur Wahl 
braucht er die Zustimmung von zwei 
Dritteln der anwesenden Abgeordneten. 
Lehmkemper hat lange im Innenminis- 
terium, in der CDU-Landtagsfraktion, in 
der Staatskanzlei und im Agrarministe- 
rium gearbeitet, er gilt als Fachmann im 


Datenschutznachrichten aus dem Ausland 


Europa 


EDSA macht Weg für TDPF 
frei 


In einer Stellungnahme des Europäi- 
schen Datenschutzausschusses (EDSA) 
äußerte dieser sich verhalten positiv 
zum 2022 ausgehandelten „Transat- 
lantic Data Privacy Framework“ (TDPF) 
zwischen der EU und den USA, so der 
Bundesdatenschutzbeauftragte Ulrich 
Kelber: „Wir sehen den Willen ein ange- 
messenes Schutzniveau für Betroffene, 
deren personenbezogenen Daten an 
Unternehmen in die USA übermittelt 
werden, zu schaffen.” Der EDSA äußerte 
sich aber kritisch zu dem Text der sog. 
Angemessenheitsentscheidung der EU- 
Kommission, mit der den USA ein zwar 
nicht identisches, aber vergleichbares 
Schutzniveau für die Verarbeitung per- 
sonenbezogener Daten bescheinigt wer- 
den soll. 

Dem neuerlichen Anlauf ging mehr 
als ein Jahr an Verhandlungen voraus. 
In den USA gibt es weiterhin kein bun- 
deseinheitliches Datenschutzrecht. Die 
Biden-Regierung änderte zum einen 
über sogenannte Präsidialverfügungen 
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die Ausführungsbestimmungen für Ge- 
setze, etwa im Bereich der Datenver- 
arbeitung durch Nachrichtendienste, 
und die Bedingungen, unter welchen 
diese und die Strafverfolgungsbehörden 
Daten überhaupt sammeln, auswerten 
und weitergeben dürfen und ob es ge- 
gen Sammlungen gangbare juristische 
Wege für EU-Bürger gibt dagegen vorzu- 
gehen. Damit sollte den Bedenken des 
EuGH begegnet werden. Die eigentliche 
Gesetzeslage wurde dabei jedoch nicht 
angepasst, da es hierfür bislang keine 
politischen Mehrheiten im Repräsen- 
tantenhaus der USA gab. Entsprechend 
mussten die EU-Datenschutzbehörden 
nun prüfen, ob die Zusicherungen und 
zusätzlich übersandte Erläuterungen 
der US-Regierung eine ausreichende 
Grundlage für den Angemessenheitsbe- 
schluss bieten können. 

In ihrer umfangreichen Stellungnah- 
me erheben die Datenschützer Einwän- 
de sehr unterschiedlicher Tragweite, die 
der Kritik an den Vorgängern Privacy 
Shield und Safe Harbor in mancher Hin- 
sicht gleichkommt. Deutliche Verbesse- 
rungen sehen die Datenschützer beim 
Zugang zu Rechtsbehelfen, also wenn 
Nutzer gegen mutmaßliche Verstöße 


Personalrecht und Verwaltungsexperte. 
Mit Lehmkempers Wahl bekommt Agrar- 
ministerin Miriam Staudte die Chance 
eine der vier Abteilungsleiterstellen 
ihres Hauses neu zu besetzen. Lehm- 
kemper soll nach einem Vorschlag von 
Ministerpräsident Stephan Weil unter 
Wegfall seiner Bezüge als Lebenszeit- 
Beamter beurlaubt werden. Das heißt, 
dass er nach Ende seiner achtjährigen 
Amtszeit als Datenschutzbeauftragter 
wieder in den Landesdienst zurückkeh- 
ren könnte (Wallbaum, Neuer Daten- 
schutzbeauftragter: Lehmkemper soll 
am Mittwoch gewählt werden, https:// 
www.rundblick-niedersachsen.de 
27.04.2023; Wallbaum, Datenschutz- 
beauftragte Thiel steht für eine zweite 
Amtszeit zur Verfügung - und wun- 
dert sich, https://www.rundblick- 
niedersachsen.de 30.01.2023). 


gegen die US-Zusicherungen diese prü- 
fen lassen wollen. Problematisch bleibt 
aus Sicht der Datenschutzaufsichtsbe- 
hörden hingegen, dass Massenerfassun- 
gen aufBasis des berühmt-berüchtigten 
Foreign Intelligence Surveillance Act 
(FISA) weiterhin ohne Genehmigungs- 
vorbehalt eines richterartigen Gremi- 
ums stattfinden dürfen. Bei anderen 
Kritikpunkten fordern die Datenschüt- 
zer von der EU-Kommission weitere 
Informationen ab, doch insgesamt ist 
das Ergebnis der Prüfung überraschend 
positiv. 

Der Hamburgische Datenschutzbe- 
auftragte Thomas Fuchs begrüßte, dass 
damit der Weg für die Angemessenheits- 
entscheidung frei scheint: „Im Zuge der 
Verhandlungen haben die USA bisher 
nicht dagewesene Zugeständnisse ge- 
macht und ihr nationales Sicherheits- 
recht an europäische Grundrechtsmaß- 
stäbe angepasst.” Der Beschluss des 
EDSA sei aber kein Freibrief: „Ob und 
inwiefern tatsächlich Geheimdienst- 
aktivitäten auf ein verhältnismäßiges 
Maß reduziert werden und wirksamer 
Rechtsschutz gewährleistet ist, kann 
nur die Umsetzung in der Praxis zei- 
gen.” Die europäischen Datenschutz- 
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behörden hatten der Kommission unter 
anderem eine strenge Überwachung der 
tatsächlichen Umsetzung als Maßgabe 
mit auf den Weg gegeben - so sollte die 
Kommission etwa spätestens alle drei 
Jahre eine grundsätzliche Überprüfung 
des TDPF durchführen. 

Der Angemessenheitsbeschluss dürfte 
nun die weiteren Instanzen passieren; 
das Europaparlament könnte ihn nur mit 
absoluter Mehrheit zurückweisen. Das 
scheint nach der EDSA-Stellungnahme 
allerdings ausgeschlossen. Wenn die 
noch ausstehenden formellen Schritte 
vollzogen sind und der Angemessen- 
heitsbeschluss in Kraft ist, können sich 
Unternehmen auf die neue Rechts- 
grundlage berufen. 

Damit Unternehmen dann personen- 
bezogene Daten unter den Regeln des 
Transatlantic Data Privacy Framework 
in die USA übertragen und dort verar- 
beiten dürfen, müssen diese sich einem 
speziellen Aufsichtsregime der US-Han- 
delsaufsicht (Federal Trade Commission 
- FTC) oder des Handelsministeriums 
(Department of Commerce - DoC) unter- 
werfen. Hierzu müssen sie ihre Teilnah- 
me anmelden. Sofern sie die Kriterien 
nicht erfüllen, drohen bei Selbstver- 
pflichtungsverstößen in den USA oft 
empfindliche Strafen (Steiner, Europas 
Datenschützer machen Weg für EU-US- 
Datenschutzvereinbarung frei, www. 
heise.de 02.03.2023, Kurzlink: https:// 
heise.de/-7532414). 


Frankreich 


„Intelligente” Videoüber- 
wachung bei Olympiade 
2024 in Paris 


Das französische Parlament hat am 
23.03.2023 im Kern einen Gesetzent- 
wurf der Regierung gebilligt, der einen 
breiten Einsatz von Kameras zur „intelli- 
genten“ Videoüberwachung in Echtzeit 
während der Olympischen Sommerspie- 
le 2024 in Paris vorsieht. Das System soll 
selbstständig Ereignisse wie Menschen- 
ansammlungen erfassen und auf even- 
tuelle Gefahren hin analysieren. So soll 
dem Gesetzestext zufolge die Sicherheit 
von „Sport-, Freizeit- oder Kulturveran- 
staltungen“ gewährleistet werden. Der 
Senat hatte bereits zuvor zugestimmt. 
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Die Olympischen Sommerspiele 2024 
finden vom 26.07. bis zum 11.08.2024 
in Paris statt. Vom 28.08. bis zum 
08.09.2024 ist die französische Haupt- 
stadt Austragungsort der Paralympics. 
Entgegen der ursprünglichen Vorlage 
soll das Überwachungsprogramm bis 
zum 24. Dezember 2024 laufen statt bis 
Juni 2025. 

Vor der Abstimmung der Rechtspo- 
litiker waren 37 zivilgesellschaftliche 
Organisationen wie European Digital 
Rights (EDRi), La Quadrature du Net, 
Amnesty International, Digitalcourage, 
die DVD und Privacy International in 
einem Brandbrief gegen das Vorhaben 
Sturm gelaufen. Dieses ebnet ihnen 
zufolge „den Weg für den Einsatz von 
invasiver, Algorithmen-gesteuerter Vi- 
deoüberwachung unter dem Vorwand 
Großveranstaltungen zu sichern“. Mit 
dem Gesetz würde Frankreich der erste 
EU-Mitgliedsstaat, „der solche Prakti- 
ken ausdrücklich legalisiert” (siehe in 
diesem Heft S. 96). 

Die Bürgerrechtler befürchten, dass 
die Initiative den Weg für eine biomet- 
rische Massenüberwachung ebnet. Nur 
selten würden einmal eingeführte „au- 
ßergewöhnliche” Maßnahmen tatsäch- 
lich wieder zurückgenommen. Statt- 
dessen erschiene die Überwachung als 
neue Normalität - oft ohne angemes- 
sene Schutzmaßnahmen, Transparenz, 
Einbeziehung der Betroffenen und Me- 
chanismen der Rechenschaftspflicht. 
Der Aufforderung, den die Videoüber- 
wachung legitimierenden Artikel 7 ab- 
zulehnen und das Thema für weitere 
Diskussionen mit der Zivilgesellschaft 
zu öffnen, kam die Nationalversamm- 
lung nicht nach. 

Mit dem Ansatz will die Regierung es 
den Sicherheitsbehörden ermöglichen 
„verdächtiges Verhalten”, unbeaufsich- 
tigtes Gepäck und große Menschenan- 
sammlungen alarmierenden Ausmaßes 
zu erkennen. Mehrere Abgeordnete und 
Fraktionen drängten darauf auch eine 
Live-Gesichtserkennung zuzulassen. Sie 
fanden damit aber genauso wenig eine 
Mehrheit wie rund 90 Parlamentarier 
aus dem linken Spektrum, die sich ge- 
gen Artikel 7 des Gesetzes aussprachen. 
Das Parlament stimmte aber dafür die 
Öffentlichkeit besser über die Standorte 
der Kameras zu informieren und neben 
der Datenschutzbehörde CNIL auch die 


Cybersicherheitsagentur ANSSI einzu- 
beziehen. Ferner hat das Gremium den 
Fundus an Bildern und Daten erweitert, 
mit denen Algorithmen im Vorfeld der 
Wettbewerbe trainiert werden können. 

Die Bürgerrechtsorganisation „La 
Quadrature du Net” wirft der französi- 
schen Regierung vor nicht wahrheitsge- 
treu über die technische Funktionswei- 
se und die rechtlichen und politischen 
Konsequenzen informiert zu haben. 
Stattdessen seien „Strategien, Lügen 
und erfundene Darstellungen” einge- 
setzt worden, um Diskussionen über 
die geplante Massenüberwachung zu 
verhindern (Krempl, Warnung vor Big- 
Brother-Olympiade verhallt im fran- 
zösischen Parlament, www.heise.de 
09.03.2023, Kurzlink: https://heise. 
de/-7540846; Frankreich: Parlament 
beschließt umstrittene Videoüberwa- 
chung zu Olympia, https://posteo.de 
27.03.2023). 


Italien 


Datenschutzbehörde gegen 
OpenAls ChatGPT 


Die italienische Datenschutzauf- 
sichtsbehörde, die „Garante per la pro- 
tezione dei dati personali”, ging unter 
Berufung auf Art. 58 Datenschutz- 
Grundverordnung (DSGVO) mit einer vo- 
rübergehenden Sperrung „mit soforti- 
ger Wirkung“ landesweit gegen ChatGPT 
vor und nimmt weitere Untersuchungen 
vor. Ein Grund dafür ist, dass OpenAl 
unrechtmäßig personenbezogene Daten 
verarbeitet. Sie ist damit erste Behörde 
der Welt, die die Nutzung von ChatGPT 
auf der Grundlage von Datenschutzbe- 
stimmungen blockiert. 

Als Basis für die Anschuldigungen 
dient maßgeblich ein am 20.03.2023 
aufgetauchtes Datenleck, das die Ein- 
sicht in die Informationen fremder Nut- 
zer erlaubte; sogar Zahlungsdaten wa- 
ren dabei. Das Leck betraf Unterhaltun- 
gen der Nutzer mit der Anwendung so- 
wie Informationen über die Bezahlung 
der Abonnenten des kostenpflichtigen 
Dienstes. OpenAl-Chef Sam Altman hat- 
te erklärt, das Datenleck habe einen 
Fehler in einer Open-Source-Bibliothek 
als Ursache gehabt. Konkreter wurde 
er dabei allerdings nicht. Die Behörde 
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teilte mit: „In der Maßßnahme stellt die 
Datenschutzaufsichtsbehörde fest, dass 
die Nutzer und alle Personen, deren 
Daten von OpenAl gesammelt werden, 
nicht informiert wurden, vor allem aber, 
dass es keine Rechtsgrundlage gibt, die 
die massive Sammlung und Speiche- 
rung personenbezogener Daten zum 
Zwecke des ‚Trainings’ der Algorithmen, 
die dem Betrieb der Plattform zugrunde 
liegen, rechtfertigt.” Guido Scorza, ein 
Vertreter der Behörde, erklärte: „Wer 
medizinische Forschung betreibt, muss 
die Zustimmung für Experimente ein- 
holen. Diejenigen, die mit neuen Tech- 
nologien experimentieren, müssen den 
Prozess ebenfalls transparent machen.” 

Der Einsatz von Nutzungsdaten aus 
Italien wurde untersagt. Problematisch 
ist aber jegliche Nutzung von Eingaben 
von Nutzerinnen und Nutzern, die zum 
Training der Künstlichen Intelligenz ge- 
nutzt werden. 

Außerdem behauptete die Garante, 
dass Überprüfungen Diskrepanzen zwi- 
schen den von ChatGPT bereitgestellten 
Informationen und den tatsächlichen 
Daten ergeben hätten. ChatGPT liefere 
häufig fehlerhafte Antworten; darin 
liegt nach Ansicht der Behörde „eine 
unzulässige Verarbeitung personen- 
bezogener Daten“. Ein weiterer Kritik- 
punkt betrifft das Mindestalter: OpenAl 
gibt ChatGPT in seinen Nutzungsbedin- 
gungen für Menschen ab 13 Jahren 
frei, überprüft das Alter in der Web-App 
aber nicht. Junge Leute könnten so 
ungeeignete Antworten erhalten, die 
nicht für ihr Alter bestimmt sind: „Das 
Fehlen eines Filters zur Überprüfung 
des Alters der Nutzer führt dazu, dass 
Minderjährige Antworten erhalten, die 
für ihren Entwicklungsstand und ihr 
Selbstbewusstsein völlig ungeeignet 
sind“. Fehlende Alterskontrollen sind 
allerdings keine Seltenheit, die meis- 
ten sozialen Netzwerke prüfen nur we- 
nig verlässlich. 

Innerhalb von 20 Tagen nach der Ver- 
fügung sollte das Unternehmen mittei- 
len, welche Korrekturmaßnahmen es er- 
griffen hat. Ansonsten drohe eine Strafe 
von bis zu 20 Millionen Euro oder bis zu 
4% des globalen Jahresumsatzes, so die 
Behörde. OpenAI könne Widerspruch 
einlegen; das Unternehmen müsse der 
Anweisung der Behörde aber zunächst 
nachkommen. 
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Nach der Sperrverfügung durch die 
italienische Datenschutzaufsichtsbe- 
hörde ließ sich ChatGPT als Web-App 
beim Entwicklerunternehmen OpenAl 
per VPN-Tunnel noch mit italienischer 
IP aufrufen. Die Garante war im Februar 
bereits in ähnlicher Weise gegen einen 
anderen Chatbot mit dem Namen Repli- 
ka vorgegangen. Dabei ging es vor allem 
darum, dass Kinder im Alter unter 13 
Jahren ungenügend geschützt wurden. 

Nach Änderungen seines Internet- 
auftritts war ChatGPT in Italien am 
28.04.2023 wieder verfügbar. Die Ga- 
rante erklärte: „OpenAl stellt den Dienst 
in Italien mit verbesserter Transparenz 
und verbesserten Rechten für europä- 
ische Benutzer wieder her.“ Das Un- 
ternehmen erfülle nun eine Reihe von 
Bedingungen, die die Behörde gefor- 
dert hatte, um das Verbot des Chatbots 
aufzuheben. Der Betreiber OpenAI gab 
bekannt unter anderem eine Alters- 
prüfung für einheimische neue Nutzer 
vorgeschaltet zu haben. Ein neues For- 
mular erlaube es Nutzern in der Europä- 
ischen Union zudem Widerspruch gegen 
die Verwendung ihrer Daten einzulegen. 
Die italienische Datenschutzbehörde 
erklärte, sie werde jedoch die Daten- 
schutzprüfung fortsetzen und forderte 
weitere Maßnahmen. 

In Deutschland sind die unabhängi- 
gen Datenschützer:innen der Länder für 
Unternehmen zuständig (s.o. S. 102). 
Eine Sprecherin des Bundesbeauftrag- 
ten für Datenschutz und Informations- 
freiheit (BfDI) erklärte, dass man mit 
der italienischen Datenschutzaufsichts- 
behörde „sehr eng” zusammenarbeite: 
„Wir haben sie zur Sperrung von Chat- 
GPT bereits um weiterführende Informa- 
tionen gebeten und werden diese dann 
an die zuständigen Landesdatenschutz- 
aufsichtsbehörden und Landesmedien- 
anstalten weitergeben.” 

ChatGPT basiert darauf, dass die Soft- 
ware enorme Mengen von Texten erfasst 
und auf dieser Basis Texte erstellt, die 
von denen eines Menschen kaum zu 
unterscheiden sind. Dabei schätzt das 
Programm nach einer statistischen Me- 
thode, welche Worte als nächste in ei- 
nem Satz folgen könnten. Das Prinzip 
hat zur Folge, dass die Software „Fak- 
ten halluziniert”, wie OpenAl es nennt, 
also falsche Informationen auswirft. 
ChatGPT hat seit Ende 2022 damit beein- 


druckt, wie gut die Software menschli- 
che Sprache imitiert. An Schulen und 
Hochschulen besteht das Problem, 
dass damit Hausaufgaben und Arbeiten 
produziert werden können, die keine 
Leistung der Schüler und Studierenden 
sind (Sokolow, Italiens Datenschützer 
stoppen ChatGTP, Kieler Nachrichten, 
01.04.2023, 5; Mantel, Datenschutzbe- 
denken: Italien will ChatGPT sperren, 
www.heise.de 31.03.2023, Kurzlink: 
https://heise.de/-8326147; Schu- 
bert, Italien sperrt ChatGPT, wwwr.faz. 
net 31.03.2023; Italiens Datenschutz- 
behörde sperrt ChatGPT, Tagesspiegel 
Digitalisierung & KI 03.04.2023; Chat- 
GPT in Italien wieder verfügbar, www. 
tagesschau.de 28.04.2023; Witten- 
horst, Text-KI ChatGPT in Italien wieder 
verfügbar, www.heise.de 29.04.2023, 
Kurzlink: https://heise.de/-8983351). 


Schweiz 


„Anonyme” Gesichtserken- 
nung auf Schweizer Bahn- 
höfen 


Reisende und Passanten auf vielen 
Bahnhöfen der staatseigenen Schwei- 
zerischen Bundesbahnen (SBB) werden 
bereits vielfach gefilmt und getrackt, 
sei es mit Hunderten Videokameras, sei 
es beim Benutzen der Fahrkartenauto- 
maten oder mithilfe eines Systems zum 
Messen von Personenströmen. Im Laufe 
des Jahres 2023 soll zunächst am Bahn- 
hof Schaffhausen ein weiteres Über- 
wachungssystem mit „anonymisierter 
Gesichtserfassung“ hinzukommen. Das 
Schweizer Konsumentenschutz-Maga- 
zin K-Tipp hat einen Beschaffungsplan 
für ein „Kundenfrequenz-Messsystem 
2.0” auf einer Ausschreibungsplattform 
entdeckt, welches ein Gesichtserfas- 
sungssystem einschließt. Kamerasys- 
teme mit Gesichtserfassung und -er- 
kennung im öffentlichen Raum werden 
auch in der Schweiz seit geraumer Zeit 
diskutiert und zumeist abgelehnt. 

Das neue System, das für 57 Schweizer 
Bahnhöfe geplant ist, soll nicht nur wie 
bisher die Bewegungen der Personen im 
Bahnhofsbereich tracken. Die SBB wol- 
len laut K-Tipp außerdem das (Kauf-) 
Verhalten der Passanten in den zahlrei- 
chen Ladengeschäften und Lokalen der 
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größeren Bahnhöfe beobachten. Die 
so gewonnenen Einblicke - nebst Ver- 
bindung mit anderen Quellen wie Wet- 
ter- und Fahrgastdaten - will die Bahn 
mit den Daten des Swisspass (eine SBB- 
Kundenkarte mit Bild) verknüpfen. 

Erfasst werden sollen die Daten von 
den meist verdeckt angebrachten Ka- 
meras. Damit erkundet werden sollen 
Alter und Geschlecht der Personen, die 
Größe, mitgeführtes Gepäck und Ge- 
genstände wie Kinderwagen, Rollstuhl, 
Fahrrad oder begleitende Tiere. Die SBB 
interessieren sich dafür, wie lange Rei- 
sende sich im Bahnhof aufhalten, wel- 
che Läden Passagiere besuchen und wie 
viel Geld sie dort ausgeben. Auch die 
Daten der Ladenkassen wollen die SBB 
mit den Bewegungsdaten verbinden 
und damit offenbar die „Abschöpfungs- 
rate” pro Passagier erhöhen: Je höher 
der Umsatz der Läden in den Bahnhö- 
fen, desto höher fällt die Miete aus, die 
diese an die SBB entrichten müssen. Die 
Ladenbetreiber sollen Zugang zu den 
Informationen erhalten. Die erste Vari- 
ante des Kundenfrequenz-Messsystems 
war wohl 2017 in einzelnen Bahnhöfen 
installiert worden; sie zeichnete gemäß 
Presseberichten die Position von Perso- 
nen auf und wies diesen zusätzlich zu 
ihrem Standort und dem Zeitpunkt der 
Aufnahme eine Identität zu, die über 
den gesamten Erfassungszeitraum kon- 
stant blieb. 

Zwecks Einhaltung des Datenschutz- 
rechts verlangen die SBB vom System- 
lieferanten, dass die Daten anonymi- 
siert erhoben werden. Allerdings solle 
eine Personen-ID vergeben werden, 
damit Personen „während der gesam- 
ten Aufenthaltsdauer im Bahnhof 
eindeutig erkannt werden können”. 
Schon damals - wie auch heute - be- 
tonten die SBB, dass trotz solch einer 
„eindeutigen Identifikation der Per- 
son” Rückschlüsse auf Einzelpersonen 
nicht möglich seien. Die SBB beteuern, 
es werde nur mit aggregierten Daten 
gearbeitet. Die Informationen der La- 
denkassen würden nur „allgemein ge- 
nutzt”. Die Personen-ID habe nichts 
mit der Person zu tun, sondern sei eine 
rein technische Nummerierung. Es 
würden keine Daten verknüpft, welche 
Rückschlüsse auf die Person zulassen, 
und es gebe keine Verknüpfung mit 
dem Swisspass oder Mobile-Apps. Der 
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Datenschutz sei gewährleistet. Es wer- 
de nichts beschafft und eingesetzt, das 
nicht datenschutzkonform sei. 

Der Eidgenössische Datenschützer 
(EDÖB), Adrian Lobsiger, meinte, auf- 
grund der Vielzahl der erhobenen Daten 
und des Risikos der Re-Identifikation 
von Personen bestehe eine erhebliche 
Gefahr für die Persönlichkeit der Pas- 
santen. Er bestätigte, dass er von den 
SBB „im Oktober 2022 über dieses Pro- 
jekt informiert” wurde. Die SBB „sicher- 
ten dem EDÖB zu, dass die Daten nicht 
personenbezogen verwendet werden, 
und dass sie eine Datenschutz-Folgen- 
abschätzung zum Projekt durchfüh- 
ren werden. Der EDÖB wird das Projekt 
weiterhin aufsichtsrechtlich begleiten” 
(Sperlich, Gesichtserkennung: Kritik 
an Schweizer Bahn wegen „Kundenbe- 
spitzelung“, www.heise.de 20.02.2023, 
Kurzlink: https://heise.de/-7520789). 


Schweiz 


Doch keine Biometrie- 
Kontrolle auf Bahnhöfen 


Die Schweizerischen Bundesbahnen 
(SBB) werden in ihrem kommenden 
neuen Messsystem auf Bahnhöfen die 
Menschen doch nicht nach Alter, Ge- 
schlecht oder Größe erfassen. Die Kon- 
zernleitung der SBB gab anlässlich einer 
Bilanzmedienkonferenz am 13.03.2023 
bekannt, dass die staatseigenen SBB 
nach wie vor zusätzlich zu den bereits 
Zehntausenden von Kameras, die in 
Zügen und Bahnhöfen im Einsatz sind, 
weitere Überwachungssysteme in 57 
Bahnhöfen installieren möchten. Sie 
sollen die Ströme der Reisenden und 
Kundinnen und Kunden der zahlrei- 
chen Geschäfte in den Bahnhöfen er- 
fassen, mit Hilfe des „Kundenfrequenz- 
Messsystem 2.0“ (KFMS) gemäß einem 
Beschaffungsplan auf einer Ausschrei- 
bungsplattform (siehe vorige Meldung). 

Nach erheblichem öffentlichem Druck 
und auch Einwänden aus der Politik 
modifizierten die SBB die angeforder- 
ten Möglichkeiten in den Ausschrei- 
bungsplänen. Das Bahnunternehmen 
verkündete keine Gesichtserkennung in 
den Bahnhöfen einsetzen zu wollen und 
auch keine Daten zu erheben, die Rück- 
schlüsse auf einzelne Personen ermög- 


lichen. Im hauseigenen Newsportal war 
nach Veröffentlichung der ersten Kritik 
im Februar 2023 zunächst mitgeteilt 
worden: „Die Ausschreibung war sehr 
technisch formuliert und stellenweise 
schlicht missverständlich. Das müssen 
wir künftig besser machen.” An dem 
Plan der ausgeschriebenen Kunden- 
segmentierungen wie Alter, Geschlecht 
oder Größe werde aber festgehalten. 
Später zog dann aber die Konzernlei- 
tung, allen voran wohl SBB-Chef Vin- 
cent Ducrot, die Notbremse. Er will auf 
die Kundenkategorisierungen verzich- 
ten. Zwar hätten die SBB nur ein System 
beschafft, das vollständig datenschutz- 
konform sei, so Ducrot: „Der Nutzen 
für das Kerngeschäft Bahn ist für mich 
jedoch zu wenig gegeben.” Zudem habe 
er die Befürchtungen aus Politik und 
Öffentlichkeit gehört und ernst genom- 
men: „Das Vertrauen in die SBB ist mir 
sehr wichtig.” 

Die SBB unterstreichen nun, dass bei 
den Zähldaten keine Verknüpfungen 
mit Personendaten gemacht würden. 
Ziel sei, „dass sich die Reisenden, alle 
Besucher:innen im Bahnhof sicher und 
wohl fühlen und die richtigen Services 
am richtigen Ort sind.” Die SBB würden 
ihre Ausschreibung anpassen. Für ein- 
gehende Angebote werde eine Daten- 
schutz-Folgenabschätzung erstellt. Erst 
nach Prüfung durch den Eidgenössi- 
schen Datenschutzbeauftragten (EDÖB) 
wollen sich die SBB für ein Angebot 
entscheiden. Gegen die Pläne der SBB 
haben die beiden zivilgesellschaftlichen 
Organisationen AlgorithmWatch CH und 
die Digitale Gesellschaft gemeinsam 
mit anderen Organisationen einen offe- 
nen Brief lanciert, der von über 16.000 
Personen unterzeichnet wurde. Darin 
wurde gefordert „auf biometrische Ka- 
tegorisierung und Überwachung zu 
verzichten“. Die beiden Organisationen 
„begrüßen die Ankündigung der SBB”, 
betonen aber gleichzeitig, dass sie den 
Druck aufrechterhalten und den SBB 
weiterhin genau auf die Finger schauen 
möchten, damit auch in Zukunft keine 
Überwachungsmethoden eingesetzt 
werden, die mit den Grundrechten nicht 
vereinbar sind (Sperlich, Schweizer 
Bahn verzichtet auf biometrische Über- 
wachung der Bahnhöfe, www.heise.de 
15.03.2023, Kurzlink: https://heise. 
de/-7547175). 
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Dänemark 


Kundendaten von Ecco 
öffentlich im Netz 


Ecco, ein dänisches Schuh- und Be- 
kleidungsunternehmen, hat nach Dro- 
hungen von Anonymous 60 GB mit Mil- 
lionen sensibler Daten preisgegeben, 
die von Sicherheitsexperten des däni- 
schen Cybersicherheitsunternehmens 
PrivacySharks am 21.12.2022 entdeckt 
wurden. Die Daten sollen seit Juni 2021 
öffentlich zugänglich gewesen sein. 

Ecco verwendete zur Visualisierung sei- 
ner Daten Kibana, worüber wegen einer 
Schwachstelle durch eine offene API auf 
Kundendokumente zugegriffen werden 
konnte. Die Dokumente enthalten Ver- 
kaufs- und Marketingmaterial bis hin zu 
Protokollierungs- und internen System- 
informationen. Für einen Wettbewerber 
wären die 190.005 Dokumente, die als 
aboservice_asset_availability_check ka- 
tegorisiert sind, und die 305.508 Datei- 
en, die als sales_org kategorisiert sind, 
von großem Wert, weil sie einen einzig- 
artigen Einblick in das Geschäft von Ecco 
bieten. Neben dem Zugriff auf die Daten 
bestand auch die Möglichkeit die Kodie- 
rung zu ändern, die schließlich mit der 
Ecco-Website verbunden wurde. 

Die Daten wurden von Anonymous 
veröffentlicht. PrivacySharks erklärte: 
„Es ist ein Wunder, dass Anonymous, 
das Ecco schon früher bedroht hat, diese 
Lücke nicht vor den Experten gefunden 
hat.” Ob die Daten missbraucht wurden 
und Auswirkungen auf die Zukunft der 
internen Systeme von Ecco haben, ist 
ungewiss. Das Sicherheitsunternehmen 
empfiehlt Benutzern ihr Passwort zu 
ändern und einen Passwortmanager zu 
verwenden. Ecco hat die Lücke inzwi- 
schen geschlossen (Sprensen, Truet af 
Anonymous, danske Ecco laekker over 
60GB sensitiv data, www.privacysharks. 
com/dk/author/rasmus-soerensen/ 
22.12.2022). 


Großbritannien 


Sammelklage gegen Meta 
vorläufig gescheitert 


Das britische Competition Appeal 
Tribunal (CAT) hat am 20.02.2023 in 
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London eine Sammelklage gegen Meta 
mit einem Streitwert von bis zu drei 
Milliarden Pfund (rund 3,4 Milliarden 
Euro) abgewiesen. In der Klage wurde 
dem Social-Media-Konzern vorgeworfen 
seine marktbeherrschende Stellung bei 
Facebook zu missbrauchen, um die per- 
sönlichen Daten der Nutzer und Nutze- 
rinnen zu Geld zu machen. Das Gericht 
räumte den Klägern jedoch bis zu sechs 
Monate Zeit ein, um einen weiteren Ver- 
such zu unternehmen den angeblichen 
Schaden für die Nutzer und Nutzerinnen 
nachzuweisen. 

Die im Namen von rund 45 Millionen 
Facebook-Nutzenden in Großbritan- 
nien eingereichte Sammelklage gegen 
die Facebook-Muttergesellschaft Meta 
war von der Wettbewerbsexpertin Liza 
Lovdahl Gormsen vom British Institute 
of International and Comparative Law 
eingereicht worden. Lovdahl Gormsen 
argumentiert, die Facebook-Nutzenden 
würden nicht angemessen für den Wert 
der persönlichen Daten entschädigt, 
die sie für die Nutzung des Sozialen 
Netzwerkes bereitstellen mussten. Das 
CAT, das für kartellrechtliche Verfah- 
ren zuständig ist, entschied, dass die 
der Klage zugrundeliegende Methode 
zur Ermittlung der von den Facebook- 
Usern erlittenen Verluste einer „grund- 
legenden Neubewertung” bedürfe, da- 
mit der Fall fortgesetzt werden könne. 
Das Londoner Gericht gab den Anwäl- 
ten von Lovdahl Gormsen jedoch sechs 
Monate Zeit, um „zusätzliche Beweise 
einzureichen, die einen neuen und bes- 
seren Plan für einen effektiven Prozess 
darstellen”. Ein Sprecher von Meta be- 
grüßte die Entscheidung und verwies 
auf eine frühere Erklärung, wonach die 
Klage „völlig unbegründet“ sei. 

Das CAT hat mit mehreren Sammelkla- 
gen gegen große Unternehmen wie BT, 
Apple, Qualcomm oder Sony zu tun. Der 
japanische Elektronik-Konzern soll sei- 
ne marktbeherrschende Stellung miss- 
braucht haben, um den Entwicklern und 
Verlegern von PlayStation-Spielen un- 
faire Bedingungen aufzuerlegen. Eine 
weitere Sammelklage fordert eine Mil- 
liarden-Entschädigung wegen Apples 
umstrittener App-Store-Regeln. Ermög- 
licht werden solche Kartellklagen im 
Namen von Millionen von Verbrauchern 
wegen angeblicher Verstöße gegen das 
Wettbewerbsrecht durch den britischen 


Consumer Rights Act von 2015. Jede 
Klage muss zunächst vom CAT als ver- 
handlungsfähig bestätigt werden. 

Ende 2020 hat der Oberste Gerichts- 
hof ein wegweisendes Urteil gefällt, 
durch das eine Klage des ehemaligen 
Finanzombudsmanns Walter Merricks 
im Namen von 46,2 Millionen Menschen 
gegen den Finanzdienstleister Master- 
card in Höhe von 10 Milliarden Pfund 
(11,8 Milliarden Euro) zugelassen wur- 
de (Knobloch, Facebook: Sammelklage 
in Großbritannien abgewiesen, www. 
heise.de 20.02.2023, Kurzlink: https:// 
heise.de/-7521997). 


USA 


Private Kfz-Videos vergnü- 
gen Tesla-Mitarbeiter 


Von 2019 bis zumindest 2022 haben 
gemäß einem Bericht von Reuters Tesla- 
Mitarbeitende Originalszenen sowie be- 
arbeitete Aufnahmen aus den Kameras 
fremder Tesla-Fahrzeuge in einem Fir- 
menchat geteilt und sich darüber lustig 
gemacht. Zu den Bildern gehörten inti- 
me Szenen in Garagen, Autos und Privat- 
gärten bis zu furchtbaren Straßenunfäl- 
len. Der Bericht bezieht sich auf Angaben 
von neun ehemaligen Tesla-Mitarbeitern. 
Einige weitere Befragte wollten nichts 
mitbekommen haben. Ob die Praxis an- 
dauert, ist nicht geklärt. Besonders be- 
liebt gewesen sei ein Video eines Rasers, 
der ein fahrradfahrendes Kind verletzte. 
Auch Nacktaufnahmen oder ein Amphi- 
bienfahrzeug aus der Garage des Tesla- 
Chefs Elon Musk erregten demnach fir- 
meninterne Aufmerksamkeit. 

Ein Teil der Aufnahmen sei entstan- 
den, während das jeweilige Elektroau- 
to nicht in Betrieb war. Manche Fotos 
und Videos wurden über Gruppenchats 
verteilt, andere über Unterhaltungen 
mit wenigen Teilnehmern - das auch 
dann, wenn ein Manager die Verbrei- 
tung im Gruppenchat als Verletzung 
interner Vorschriften gerügt hatte. 
Tesla war nach der Veröffentlichung für 
Stellungnahmen nicht erreichbar. Tesla 
verspricht: „Your Data belongs to you.” 
Autobesitzer sollen via Touchscreen 
selbst entscheiden, ob sie Daten ihrer 
Tesla-Autos dem Hersteller für Analy- 
sezwecke freigeben möchten: „Diese 
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Analyse hilft Tesla seine Produkte und 
Dienstmerkmale zu verbessern sowie 
Probleme schneller zu diagnostizieren.” 

Fotos und Videos würden weder mit 
dem Autokäufer noch der Fahrgestell- 
nummer verknüpft. Letzteres stimmt 
offenbar; allerdings sind die Aufnahmen 
stets georeferenziert. Tesla-Mitarbeiter 
hätten durch einen Link auf Google 
Maps nachschauen können, wo die Auf- 
nahme gemacht wurde. In Verbindun- 
gen mit dem Gezeigten ist es dann kei- 
ne Schwierigkeit Bezug zu bestimmten 
Personen herzustellen. Die Einstellung 
der Tesla-Mitarbeiter war in den Gesprä- 
chen mit Reuters unterschiedlich. Zwei 
hätten nichts dabei gefunden die Auf- 
nahmen aus fremden Autos zu teilen. 
Die Kunden hätten sowieso jede Erwar- 
tung von Privatsphäre aufgegeben. Ein 
Weiterer hatte keine grundsätzlichen 
Bedenken, stufte aber die Verbindung 
mit dem Ort der Aufnahme als „massives 
Eindringen” ein. Drei andere Ex-Tesla- 
Leute zeigten sich hingegen beunru- 
higt mit Kommentaren wie: „Es war eine 
Verletzung der Privatsphäre, wenn ich 
ehrlich bin.” Oder: „Ich habe immer ge- 
scherzt, dass ich nie einen Tesla kaufen 
würde, nachdem ich gesehen habe, wie 
sie manche dieser Leute behandeln.” 

In Reaktion auf den Reuters-Bericht 
zum Umgang mit Videoaufnahmen aus 
Kundenfahrzeugen hat der Tesla-Besit- 
zer Henry Yeh bei einem Bezirksgericht 
in Nord-Kalifornien eine Sammelklage 
gegen den Autobauer eingereicht (Ak- 
tenzeichen 3:23-cv-01704). Yeh klagtin 
seinem Namen und stellvertretend für 
alle weiteren Betroffenen. Neben Intim- 
Fotos und Videos standen bei den Tesla- 
Mitarbeitern wohl auch Videos zu Unfäl- 
len und Ärger im Straßenverkehr hoch 
im Kurs. Sollten die Richter in den USA 
die Klage anerkennen, dann kann Tes- 
la zur Zahlung von Schadensersatz an 
Fahrzeugbesitzer verpflichtet werden. 
Laut dem Kläger hätten die Besitzer ei- 
nes Tesla derzeit zwar die Möglichkeit 
die Kameras von einer Fachkraft deak- 
tivieren zu lassen, würden dabei aber 
den Zugriff auf den Autopiloten verlie- 
ren. Die Fahrassistenz der Elektroautos 
ist eines der schlagenden Verkaufsar- 
gumente. Für den Fall, dass man die 
Kameras angestellt lasse, müsse man 
im Zweifel damit rechnen, dass die ei- 
gene Privatsphäre nicht geschützt sei 
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(Stecklow/Cunningham/Jin, Special 
Report: Tesla workers shared sensiti- 
ve images recorded by customer cars, 
www.reuters.com/technology/tesla- 
workers-shared-sensitive-images- 
recorded-by-customer-cars-2023- 
04-06/; Sokolov, Tesla-Mitarbeiter 
ergötzen sich an Videoaufnahmen 
aus fremden Autos, www.heise.de 
07.04.2023, Kurzlink: https://heise. 
de/-8688648; Steevens, Tesla: Späße 
mit Kundenvideos führen zu Sammel- 
klage, www.heise.de 09.04.2023, Kurz- 
link: https://heise.de/-8854871). 


Kanada 


Datenschutz ermittelt ge- 
gen OpenAls ChatGPT 


Das Büro des Datenschutzbeauftragten 
von Kanada hat eine Untersuchung ge- 
gen OpenAl eingeleitet. Das Unterneh- 
men entwickelt den mit künstlicher In- 
telligenz betriebenen Chatbot ChatGPT. 
Philippe Dufresne, Privacy Commissioner 
of Canada, erläuterte: „Die KI-Technik 
und ihre Auswirkungen auf die Privat- 
sphäre haben für mein Büro Priorität. 
Wir müssen mit den schnelllebigen tech- 
nologischen Fortschritten Schritt halten 
- und ihnen einen Schritt voraus sein.” 
Damit reagierte der oberste kanadische 
Datenschützer auf eine Beschwerde. Es 
geht um die Erhebung, Verwendung und 
Offenlegung personenbezogener Daten 
ohne Zustimmung. Weil die Untersu- 
chung noch laufe, würden keine weite- 
ren Details bekanntgegeben. 

Im Nachbarland USA hat eine gemein- 
nützige Forschungsorganisation die 
dort für Verbraucherschutz zuständige 
Federal Trade Commission (FTC) auf- 
gefordert gegen OpenAI Ermittlungen 
einzuleiten. In Italien wurde auf Be- 
treiben der dortigen Datenschutzauf- 
sicht der Zugang zu ChatGPT zeitweise 
gesperrt (s.o. S. 107). IT-Unternehmen 
in Südkorea bemühen sich laut einem 
Bericht der Korea Times darum ihren 
Mitarbeitern Richtlinien im Umgang 
mit ChatGPT aufzuerlegen. Da diese den 
Chatbot nutzten, um beispielsweise zu 
programmieren oder ihre Meetings zu 
organisieren, bestehe das Risiko, dass 
Geschäftsgeheimnisse an die Öffentlich- 
keit dringen. 


In einem vom Future of Life Institute 
(FLI) veröffentlichten Manifest hatten 
über 10.000 teils prominente Unter- 
zeichnerinnen und Unterzeichner wie 
Elon Musk und Steve Wozniak eine halb- 
jährige Zwangspause für die Arbeit an 
KI-Modellen gefordert, die „mächtiger 
als GPT-4” seien. Nur so könne man ge- 
währleisten, dass die KI zum Wohle der 
Menschheit beitrage statt ihr zu scha- 
den (Wilkens, ChatGPT: Kanadische Da- 
tenschutzbehörde untersucht OpenAl, 
www.heise.de 06.04.2023, Kurzlink: 
https://heise.de/-8654196) 


Kanada 


Schwaches Datenschutz- 
recht lässt Meta im Cam- 
bridge Analytica-Rechts- 
streit obsiegen 


Die vom kanadischen Bundesdaten- 
schutzbeauftragten verhängten Aufla- 
gen für Facebook-Betreiber Meta Plat- 
forms im Zusammenhang mit dem Cam- 
bridge Analytica-Skandal sind gemäß 
dem Spruch des Federal Court in Ottawa 
im Verfahren „Privacy Commissioner of 
Canada v. Facebook” vom 13.04.2023 
nichtig (Az. 2023 FC 533). Der Bundes- 
richter sprach deshalb Meta 80.000 ka- 
nadische Dollar (rund 55.000 Euro) als 
Ersatz für die Verfahrenskosten zu. Der 
im Jahr 2018 bekannt gewordene Daten- 
missbrauch durch Cambridge Analytica 
gehört zu den größten Skandalen in der 
Geschichte Facebooks. Das inzwischen 
insolvente britische Unternehmen Cam- 
bridge Analytica war auf regelwidrige 
Weise an Daten von 87 Millionen Face- 
book-Nutzern gelangt: Es hatte eine 
„Umfrage“-App unter dem Namen this- 
isyourdigitallife (TYDL) veröffentlicht, 
an der Facebook-Nutzer teilnahmen. 
Dank der Privatsphäre-Einstellungen 
des Datenkonzerns bekam Cambridge 
Analytica Zugang zu Informationen von 
deren Facebook-Freunden, die in der 
Folge für manipulative Polit-Kampag- 
nen missbraucht wurden. 

Als das bekannt wurde, geriet Face- 
book, dessen Management sich in dem 
Datenskandal selbst als Opfer darstellte, 
massiv in die Kritik und gelobte Besse- 
rung beim Datenschutz. Es folgten ver- 
schiedene Verfahren. In den USA muss- 
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te Facebook fünf Milliarden US-Dollar 
Strafe zahlen - die höchste Strafe in 
der Geschichte der US-Handelsbehörde 
FTC (Federal Trade Commission, DANA 
3/2019, 164 f.). Eine Sammelklage in 
dem Land mündete in eine Vergleichs- 
zahlung Metas von 725 Millionen Dol- 
lar. In Großbritannien wurde dem 
Konzern die geringe Höchststrafe von 
einer halben Millionen Pfund verhängt 
(DANA 4/2018, 210), in Italien kam es 
zu einem Bußgeld in Höhe von 1,1 Mil- 
lionen Euro. 

In Kanada konnte die Bundesdaten- 
schutzaufsicht OPC (Office of the Priva- 
cy Commissioner) keine Strafe verhän- 
gen, sondern nur Empfehlungen aus- 
sprechen. Facebook solle 1. den Zugriff 
Dritter auf nicht benötigte Daten ein- 
schränken, 2. Nutzer darüber informie- 
ren, welche Informationen eine Anwen- 
dung benötige und für welchen Zweck 
und 3. die Zustimmung der Nutzer zur 
Übertragung dieser Daten einholen. 

Selbst gegen diese Minimalauflagen 
wehrte sich Meta mit Erfolg. Gemäß dem 
Urteil des Bundesgerichts habe die Bun- 
desdatenschutzaufsicht nicht nachge- 


wiesen, dass Facebook keine wirksame 
Zustimmung der Nutzer eingeholt hat. 
Es gäbe ein „Beweisvakuum”, obwohl 
Facebook selbst behauptete, von Cam- 
bridge Analytica hinters Licht geführt 
worden zu sein: Wenn Facebook schon 
nicht weiß, welche Daten wofür abko- 
piert wurden, ist schwer ersichtlich, wie 
es wirksame Zustimmung seiner User 
eingeholt haben könnte. 

Zudem sei Facebook nach kanadi- 
schem Datenschutzrecht nicht ver- 
pflichtet die Nutzerdaten zu schützen, 
sobald sie an Dritte übertragen werden. 
Der Richter kritisierte dabei das gel- 
tende Recht: Es liege am Gesetzgeber 
„gut durchdachte und ausbalancierte 
Gesetze, die die durch (...) digitales 
Teilen personenbezogener Daten ge- 
stellten Herausforderungen angehen”, 
zu schaffen. Das Gericht könne nur be- 
stehendes Recht anwenden, das für So- 
ziale Netzwerke in gleicher Weise greife 
wie für den lokalen Autohändler. Der 
kanadische Datenschutzbeauftragte 
kann selbst keine Strafen verhängen, 
sondern sie nur bei Gericht beantragen. 
Dabei liegt die Höchstgrenze derzeit bei 


mageren 100.000 Dollar (zirka 68.000 
Euro). 

Im kanadischen Bundesparlament 
wird derzeit ein Gesetzesantrag namens 
Bill C-27 behandelt, der Datenschutz 
verbessern, mögliche Geldstrafen deut- 
lich erhöhen und Betroffenen den Kla- 
geweg gegen schludrige Unternehmen 
eröffnen soll. Allerdings sollen Betrof- 
fene nur dann klagen dürfen, wenn der 
Datenschutzbeauftragte Kanadas oder 
ein neues Datenschutztribunal bereits 
rechtskräftig festgestellt hat, dass Da- 
tenschutzrecht verletzt wurde. Eine 
solche Feststellung kann - wie im vor- 
liegenden Fall - Jahre dauern. Verbrau- 
cher können eine Untersuchung nicht 
erzwingen. Hat der Datenschutzbeauf- 
tragte Kanadas also keine Kapazität 
oder Lust, sich mit einem bestimmten 
Fall auseinanderzusetzen, bleibt des- 
sen Opfern der Klageweg auch nach der 
beabsichtigten Gesetzesnovelle ver- 
sperrt (Sokolov, Kanadas Datenschutz 
scheitert an Cambridge Analytica, www. 
heise.de 18.04.2023, Kurzlink: https:// 
heise.de/-8969386; vgl. auch DANA 
1/2019, 46). 


Rechtsprechung 


EGMR 


Schadenersatz für Whistle- 
blower in Lux-Leaks-Affäre 


Die Große Kammer des Europäischen 
Gerichtshofs für Menschenrechte 
(EGMR) mit ihren insgesamt 17 Richte- 
rinnen und Richtern hat mehrheitlich 
im Verfahren um den Whistleblower 
Raphael Halet am 14.02.2023 entschie- 
den, dass die Gerichte in Luxemburg 
ihn zu Unrecht verurteilt haben und 
er daher vom Staat Luxemburg eine 
Entschädigung von 15.000 Euro und 
40.000 Euro Prozesskosten erhält (Az. 
No. 21884/18). Halet war an den Ent- 
hüllungen der „Lux-Leaks-Affäre” be- 
teiligt und wegen Diebstahls und der 
Verletzung des Berufsgeheimnisses zu 
einer vermeintlich geringen Geldstrafe 
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von rund 1.000 Euro verurteilt worden. 
Aber Strafe bleibt Strafe, so sein Anwalt. 
Auch das würde Whistleblower abschre- 
cken. 

In der „Lux-Leaks-Affäre” waren ver- 
trauliche Steuervereinbarungen zwi- 
schen Luxemburg und 340 multinatio- 
nalen Konzernen öffentlich geworden. 
Zu den Unternehmen, die infolge der 
Vereinbarungen die Möglichkeit beka- 
men Milliarden Dollar an Steuern zu ver- 
meiden, gehörten Amazon, Apple, Ikea, 
Pepsi, AIG und Verizon. Geschlossen 
wurden die Vereinbarungen unter dem 
damaligen luxemburgischen Minister- 
präsidenten und späteren EU-Kommis- 
sionschef Jean-Claude Juncker. 

Kläger Halet freute sich nach elf Jah- 
ren endlich Recht zu bekommen: „Es 
geht hier nicht um mich, es geht um un- 
sere Kinder, um andere Whistleblower, 


um andere Bürger, die sich jetzt auf die- 
se Argumente berufen können.” Nach all 
den guten und schlechten Phasen, die 
er durchlebt habe, könnten sich andere 
zukünftig auf das Urteil stützen, wenn 
es um die Verurteilung von Whistleblo- 
wern gehe. 

Bislang hatte Halet immer vor Gericht 
verloren. Der frühere Mitarbeiter von 
PricewaterhouseCoopers (PwC) wurde 
verurteilt, weil er die Interessen seines 
Arbeitgebers verletzt hätte. Er könne 
sich nicht darauf berufen, dass er im 
Interesse der Öffentlichkeit gehandelt 
habe, denn seine Informationen seien 
ja so neu nicht gewesen. Tatsächlich 
war Halet nur der zweite Whistleblower 
in der Offenlegung der Lux-Leaks. 

Zunächst hatte ein anderer Mitarbei- 
ter von PwC, Antoine Deltour, 45.000 
Seiten Kopien von internen Dokumen- 
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ten an einen Journalisten weitergege- 
ben. Erst als die Presse auf dieser Grund- 
lage berichtete, dass der Luxemburger 
Staat durch Vermittlung von Pwft in gro- 
ßem Stil internationale Konzerne von 
der Steuer befreite, meldete sich Halet 
mit weiteren tausenden Dokumenten 
2012 bei der Presse. Weltweit berichte- 
ten daraufhin Medien Ende 2014 in den 
Lux-Leaks über die zweifelhaften Steu- 
erabsprachen von Konzernen mit Lu- 
xemburgs Finanzbehörde. Die Veröffent- 
lichungen trugen dazu bei, dass in der 
Europäischen Union Steuertricksereien 
erschwert wurden. Weil es nichts Neues 
gewesen sei, wurde Halet verurteilt. 

Für Halets Anwalt war dieser Umstand 
ein unzulässiges Argument: „Es ist Sa- 
che des jeweiligen Journalisten seine 
Quellen zu bewerten. Das ist nicht die 
Aufgabe der Quelle selbst. Das darf man 
den Whistleblowern nicht zur Last le- 
gen.” Das sahen die Richterinnen und 
Richter des EGMR in Straßburg genau- 
so. Das öffentliche Interesse, solche 
Vorgänge aufzudecken, sei deutlich 
gewichtiger gewesen als das Interesse 
des Arbeitgebers vertrauliche Informa- 
tionen nicht nach außen getragen zu 
bekommen. Halet habe in jedem Fall zu 
einer öffentlichen Debatte beigetragen 
und sei in seiner Meinungsfreiheit ver- 
letzt. Die Luxemburger Gerichte hätten 
den Fall also nicht richtig beurteilt. 
Auch geringe Strafen hätten einen ab- 
schreckenden Effekt auf alle, die im 
Sinne der Öffentlichkeit etwas offenle- 
gen wollen. Ein solcher Eingriff in die 
Meinungsfreiheit sei in einer demokra- 
tischen Gesellschaft nicht notwendig. 

Das Urteil aus Straßburg ist bemer- 
kenswert, da der Gerichtshof in einem 
ersten Durchgang Halet eine Abfuhr 
erteilt hatte. Im Mai 2021 hatte das Ge- 
richt befunden, dass die vom belgischen 
Gerichtshof verhängte Strafe nachvoll- 
ziehbar sei. Dies revidierte nun die Gro- 
ße Kammer. Sie hält dabei an den Kri- 
terien fest, nach denen sie seit einem 
Grundsatzurteil von 2008 zwischen den 
Belangen der Unternehmen und dem 
Schutz der Hinweisgeber abwägt. Doch 
hat der Gerichtshof die Gewichte an- 
ders verteilt. Das Urteil war umstritten; 
fünf Mitglieder der Kammer formulier- 
ten abweichende Meinungen (Deppe, 
Informant Halet zu Unrecht bestraft, 
www.tagesschau.de 14.02.2023; „Lux 
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Leaks“”: EGMR gibt Whistleblower recht, 
14.02.2023,  https://orf.at/stories/ 
3305197/; Janisch, Schutz für Whist- 
leblower, SZ 15.02.2023, 21). 


EuGH 


Interessenkonflikte recht- 
fertigen Abberufung als 
Datenschutzbeauftragter 


Der Europäische Gerichtshof (EuGH) 
entschied mit Urteil vom 09.02.2023, 
dass ein betrieblicher Datenschutz- 
beauftragter seine Aufgabe neutral 
erfüllen können muss, was bei einem 
Interessenkonflikt nicht der Fall ist 
(Az. C-453/21 u. C-560/21). Die An- 
forderungen des Bundesdatenschutz- 
gesetzes (BDSG) zur Abberufung eines 
Datenschutzbeauftragten stehen denen 
der EU-Datenschutz-Grundverordnung 
(DSGVO) nicht entgegen. Ob die Vor- 
aussetzungen für die Abberufung vor- 
liegen, muss das Gericht im Einzelfall 
überprüfen. Ein solcher Interessenkon- 
flikt besteht, wenn der Arbeitnehmer in 
einem Unternehmen gleichzeitig vom 
Arbeitgeber damit betraut wird perso- 
nenbezogene Daten, etwa von Kunden, 
zu verarbeiten oder wenn dieser selbst 
den Zweck der Datenverarbeitung fest- 
legt. Dies kann nach EU-Recht die Ab- 
berufung als Datenschutzbeauftragter 
erforderlich machen. 

Gemäß der DSGVO darf ein betrieb- 
licher Datenschutzbeauftragter nicht 
abberufen werden, nur weil er seine 
Aufgaben erfüllt. Deutsches Recht sieht 
für die Abberufung noch strengere Vor- 
aussetzungen vor. Danach ist diese 
nur „aus wichtigem Grund” erlaubt. 
Das Bundesarbeitsgericht (BAG) hatte 
hierzu zwei Verfahren dem EuGH zur 
Prüfung vorgelegt. Im ersten Fall ging 
es um einen Betriebsratsvorsitzenden 
des Halbleiterherstellers X-Fab in Dres- 
den, der gleichzeitig Datenschutzbe- 
auftragter des Unternehmens war. Der 
Arbeitgeber meinte, dass der Mann als 
Betriebsratsvorsitzender nicht unab- 
hängig seine Datenschutztätigkeiten 
ausüben könne und berief ihn von sei- 
nem Amt als Datenschutzbeauftragter 
ab. Im zweiten Fall hatte der Kommuna- 
le Zweckverband für Informationsverar- 
beitung Sachsen (KISA) seinen Daten- 


schutzbeauftragten abberufen. Dieser 
sei in seiner beruflichen Tätigkeit mit 
der Verarbeitung personenbezogener 
Daten befasst. 

Dr. Christoph Ceelen, unternehmens- 
naher Fachanwalt für Arbeitsrecht bei 
der internationalen Wirtschaftskanzlei 
CMS Deutschland, erklärte dazu: „Das 
Urteil ergänzt die bisherige Rechtspre- 
chung des EuGH zur starken Rechts- 
stellung eines Datenschutzbeauftrag- 
ten. Bereits 2022 hielt der EuGH den 
deutschen Sonderkündigungsschutz 
des Beauftragten für vereinbar mit dem 
Unionsrecht. Damit ist klargestellt, dass 
interne Datenschutzbeauftragte um- 
fassenden Bestandsschutz genießen.” 
Mit Blick auf die praktische Bedeutung 
meinte er allerdings, „das Urteil bringt 
Arbeitgebern keine Klarheit. Ob die 
Voraussetzungen einer Abberufung vor- 
liegen, lässt der EuGH nationale Gerich- 
te im Einzelfall prüfen. Insofern ist zu 
befürchten, dass sich die Zwickmühle 
für Arbeitgeber nicht ändert: Im ent- 
schiedenen Fall hatte eine Behörde die 
Abberufung des Betriebsratsvorsitzen- 
den wegen des befürchteten Interes- 
senkonflikts gefordert. Vor den Arbeits- 
gerichten war der Arbeitgeber mit der 
Abberufung aber gescheitert - Arbeits- 
gerichte verneinen seit längerem den 
Interessenkonflikt zwischen beiden Äm- 
tern.” Mit der bestätigten, starken Stel- 
lung interner Datenschutzbeauftragter 
sollten Unternehmen gut abwägen, 
ob sie eine externe Vergabe des Amts 
vorziehen, meint Ceelen. Die Abberu- 
fungsgründe, die der EuGH aufführt, 
werde ein Arbeitgeber selten nachwei- 
sen können (Urteil zu Interessenkon- 
flikten von Datenschutzbeauftragten 
in Firmen, Tagesspiegel Background, 
Digitalisierung & KI, 10.02.2023; Ab- 
berufung von Datenschutzbeauftragten 
aus wichtigem Grund möglich, www.lto. 
de 09.02.2023). 


BVerfG 


Polizeiliche komplexe 
Datenanalyse nur unter 
engen Voraussetzungen 


Das Bundesverfassungsgericht 


(BVerfG) hat mit Urteil vom 16.02.2023 
den Einsatz automatisierter Daten- 
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analysen durch die Polizei gemäß den 
Gesetzen von Hessen und Hamburg für 
verfassungswidrig erklärt, weil diese 
Gesetze weder Art und Menge der Da- 
ten noch die technischen Methoden bis 
hin zu Künstlicher Intelligenz (KI) und 
Profiling hinreichend eingeschränkt re- 
geln und deshalb Persönlichkeits- und 
Vertraulichkeitsrechte des Grundgeset- 
zes verletzen (1 BvR 1547/19 u. 1 BvR 
2634/20). 


 Data-Mining: nützlich und gefährlich 


Das BVerfG stellte zum Data Mining 
bei der Polizei fest, dass automatisierte 
Datenanalysen durch die Polizei durch- 
aus ein geeignetes und auch erfor- 
derliches Mittel sein können in Zeiten 
„von ständig anwachsenden und nach 
Qualität und Format zunehmend hete- 
rogenen Datenaufkommen.” Die beiden 
angegriffenen Regelungen (8 25a Abs. 1 
Alt. 1 des Hessischen Gesetzes über 
die öffentliche Sicherheit und Ordnung 
und 8 49 Abs. 1 Alt. 1 des Hamburgi- 
schen Gesetzes über die Datenverar- 
beitung der Polizei) erlaubten dagegen 
praktisch eine „automatisierte Verar- 
beitung unbegrenzter Datenbestände 
mittels rechtlich nicht eingegrenzter 
Methoden”. Die beiden Landesgesetz- 
geber haben damit gemäß dem Urteil 
den Grundsatz der Verhältnismäßigkeit 
massiv verletzt. Berichterstatterin war 
die Richterin Gabriele Britz. 

Notwendig für die besonders ein- 
griffsintensiven Maßnahmen sind kla- 
re Eingriffsschwellen und die Eingren- 
zung auf besondere Fälle. Nur wenn 
sehr eingegrenzte Datensätze und ein- 
fachere Methoden zum Einsatz kom- 
men, könne die Eingriffsschwelle nied- 
riger angesetzt werden. Die erfolgen- 
den Zweckabänderungen gegenüber 
der ursprünglichen Zweckbindung der 
Daten sind an bestimmte Anforderun- 
gen zu knüpfen. 

Automatisierte Datenanalysen oder 
Datenauswertungen verursachen ge- 
mäß dem Grundsatzurteil besondere Be- 
lastungseffekte, „die über das Eingriffs- 
gewicht der ursprünglichen Erhebung 
hinausgehen.” Über die Verarbeitung 
großer und komplexer Datenbestände 
mit praktisch allen informationstech- 
nisch möglichen Methoden könnten 
weitreichende Erkenntnisse abge- 
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schöpft werden. Ebenso könnten aus der 
Auswertung neue Zusammenhänge er- 
schlossen werden. Bei entsprechendem 
Einsatz komme der Einsatz der in Frage 
stehenden Polizeitools einem „Profi- 
ling“ nahe. Je mehr durch die Daten- 
analysen über eine Person in Erfahrung 
gebracht werden kann und je höher die 
„Fehler- und Diskriminierungsanfällig- 
keit” ist, desto gravierender sind die 
Analysen. Auch die Nachvollziehbarkeit 
softwaregestützter Verknüpfungen fällt 
nach Ansicht der Richter ins Gewicht. 


« Gesetze gekippt 


Beteuerungen, dass aktuell eine un- 
begrenzte Datenauswertung technisch 
noch gar nicht möglich sei, retteten die 
einmal mehr vor dem Verfassungsge- 
richt gescheiterten Landesgesetzgeber 
nicht: „Selbst wenn Funktionsweite- 
rungen erst infolge weiterer technischer 
Entwicklungen möglich sind, richten 
sich die verfassungsrechtlichen An- 
forderungen grundsätzlich nach den 
rechtlich schon jetzt geschaffenen Ein- 
griffsmöglichkeiten.“ Der Versuch der 
Vertreter aus Hamburg durch Verwen- 
dung des Wortes „Datenauswertung” 
anstelle des Wortes „Datenanalyse“ zu 
weitgehende Anwendungen auszu- 
schließen, war verfassungsrechtlich 
nicht ausreichend, so der Vorsitzende 
Richter Stephan Harbarth. 

Das Gericht kippte Hamburgs bislang 
noch nicht zum Einsatz gekommene Re- 
gel mit sofortiger Wirkung. Für Hessen- 
Data, das angeblich noch keine selbst- 
lernenden Analysen nutzt und laut 
dem Richterspruch bereits tausendfach 
eingesetzt wird, gaben sie noch eine 
Gnadenfrist bis 30.09.2023. Bis dahin 
müssen die Landesgesetzgeber die fein 
ziselierten Differenzierungen zu Ein- 
griffstiefen ihrer Analyse-Software und 
den abzudeckenden Tatbeständen neu 
fassen. Gemäß Hessens Innenminister 
Peter Beuth bei der Verhandlung wurde 
mit dem neuen Verfahren erfolgreich 
eine Serie von Geldautomatenspren- 
gungen aufgeklärt: „Manchmal sind 
es die kleinsten Teile, die die größte 
Erkenntnis bringen.“ So konzedierte 
auch Harbarth, dass die automatisierte 
Analyse „relevante Erkenntnis” zutage 
fördern könne. Das Urteil sei kein Veto 
gegen den Einsatz moderner Technolo- 


gie. Dieser müsse aber rechtsstaatlich 
flankiert sein. 


° Hohe Schwelle für KI-Einsatz 


Beuths Diktum vom Nutzen der vie- 
len kleinen Dinge hat Schattenseiten, 
die das Urteil deutlich macht, nämlich 
große Risiken für die Grundrechte. Das 
„neue Wissen“ ist fehleranfällig. Gemäß 
dem Gericht greift der Einsatz lernfä- 
higer KI-Systeme besonders tief in die 
Grundrechte ein, weil es sich von der 
kriminologisch fundierten Programmie- 
rung löst und seine Suchmuster wei- 
terentwickelt. Solche Systeme könnten 
„selbständig weitere Aussagen im Sinne 
eines ‚predictive policing” treffen. Sie 
emanzipieren sich also von ihren po- 
lizeilichen Urhebern und durchlaufen 
maschinelle Lernprozesse, die keiner 
mehr durchschaut. Diese Stärke der 
KI ist zugleich wegen des Black-Box- 
Phänomens eine Gefahr, wenn der Staat 
auf dieser Basis gegen Betroffene mit 
Gewalt vorgeht: „Dann droht zugleich 
die staatliche Kontrolle über die Anwen- 
dung verloren zu gehen.” 

Das BVerfG spricht eine weitere 
Schwäche von Kl an: ihre Anfälligkeit 
für Diskriminierung. Das ist meist ein 
Problem der Trainingsdaten. Wenn das 
System lernt, dass Tatverdächtige häu- 
fig aus bestimmten Ländern stammen, 
dann reproduziert es diese Erkenntnisse 
und vertieft sie, obwohl der Umstand, 
dass Ausländer häufiger verdächtigt 
werden, meist Konsequenz menschli- 
cher Vorurteile ist. Das Gericht mahnt 
deshalb KI mit spitzen Fingern anzu- 
fassen: „Daher dürfen selbstlernende 
Systeme nur unter besonderen ver- 
fahrensrechtlichen Vorkehrungen zur 
Anwendung kommen, die trotz einge- 
schränkter Nachvollziehbarkeit ein hin- 
reichendes Schutzniveau sichern.” 

Das Urteil liefert eine Ansammlung 
von Schwellen und Hürden, die über- 
wunden werden müssen, bevor auto- 
matisierte Datenanalyse zum Einsatz 
kommt. Die Höhe der Schwelle hängt 
davon ab, wie intim oder wie umfassend 
die Daten sind, die in den großen Topf 
geworfen werden. Das von Hessen z.B. 
genutzte Vorgangsbearbeitungssystem 
ComVor ist ein riesiger Datenbestand, 
in dem auch Lappalien wie z.B. Fundsa- 
chen gespeichert sind. Der gekippte Pa- 
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ragraf hätte der Polizei sogar die Lizenz 
zur Facebook-Recherche verschafft. 
Die Schwelle für den Einsatz von Kl ist 
ähnlich hoch wie bei Lauschangriff oder 
Online-Durchsuchung. Es muss um den 
„Schutz besonders gewichtiger Rechts- 
güter gehen”, also um eine „hinrei- 
chend konkretisierte Gefahr” für Leib, 
Leben oder Freiheit der Person. 


« Praktische Folgen für VeRA 


Bijan Moini, Leiter des Legal Teams 
der Gesellschaft für Freiheitsrechte 
(GFF), begrüßte das Urteil: „Die Klage 
der Gesellschaft für Freiheitsrechte hat 
das Risiko deutlich reduziert, dass un- 
bescholtene Bürgerinnen und Bürger 
ins Visier der Polizei geraten. Unsere 
strategische Prozessführung wirkt.” Die 
GFF hatte zusammen mit der Humanis- 
tischen Union und weiteren Organisati- 
onen und Einzelpersonen geklagt. Das 
Urteil ist nach Ansicht der Beschwer- 
deführer ein wichtiger Meilenstein; die 
Debatte um die Automatisierung der Po- 
lizeiarbeit habe gerade erst begonnen. 

Für das Bayerische Innenministerium 
ist das Urteil von besonderer Relevanz, 
da dessen Polizei 2022 die Software Go- 
tham des US-Anbieters Palantir für das 
geplante Projekt VeRA (Verfahrensüber- 
greifende Recherche- und Analyseplatt- 
form) als Musterverfahren ausgewählt 
hat (DANA 2/2022, 106). Im Januar 
2023 hatte Bayerns Innenminister Joa- 
chim Herrmann angekündigt, man wer- 
de erst nach dem Karlsruher Urteil eine 
Rechtsgrundlage im Bayerischen Poli- 
zeigesetz für den Gotham-Einsatz schaf- 
fen. Während die vorangegangenen Po- 
lizeiaufgabengesetze aus Bayern noch 
auf den Tischen der Verfassungsrichter 
in München und Karlsruhe liegen, will 
man sich dieses Mal besser absichern. 
Für das um die Datenanalysen erwei- 
terte PAG 3.0 hat man nicht zuletzt auf 
Drängen der Opposition in Bayern für 
430.000 Euro eine Studie beim Fraun- 
hofer Institut SIT in Auftrag gegeben. 
Die soll das Risiko von Datenabflüssen 
aus dem auf Gotham basierenden VeRA 
abschätzen. Die Studie ist laut Innen- 
minister Herrmann fertig und wurde im 
Februar dem zuständigen Ausschuss im 
Bayerischen Landtag vorgestellt. Dann, 
so Herrmann, könne auch hier der Ge- 
setzgebungsprozess starten. Das Bun- 
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desland Nordrhein-Westfalen setzt die 
Dienste von Palantir bereits ein. 

Das bayerische Ausschreibungsver- 
fahren ist bedeutsam, weil dabei ein 
Rahmenvertrag für den Einsatz der 
Gotham-Analysetools für die Polizei- 
behörden der Länder und des Bundes 
ausgehandelt wurde. Damit würde Pa- 
lantir zu einem fast schon monopolar- 
tigen Anbieter für die Datenanalysen in 
Deutschland, und auch in Europa ist der 
Anbieter gut im Geschäft. Das Projekt 
dieser Datenauswertung wurde 2022 
mit einem BigBrotherAward prämiert 
(DANA 2/2022, 92). Zur Kundschaft 
gehört auch Europol, dessen neue Big- 
Data-Praxis aktuell der Europäische 
Beauftragte für Datenschutz (EDPS) 
vom Europäischen Gerichtshof (EuGH) 
prüfen lässt. Denn Europol hatte sich 
die vom EDPS gerügte Praxis, große 
Datensätze der Mitgliedsstaaten zum 
Zwecke von Analysen längerfristig zu 
speichern, durch eine neue Verordnung 
absegnen lassen die rückwirkend die 
nicht Datenschutz-konforme Praxis zu 
legalisieren versucht (DANA 2/2022, 
110, 4/2022, 265 f.). Das nun gefäll- 
te Urteil des BVerfG kann hier für den 
EuGH stilbildend sein (Ermert, Bundes- 
verfassungsgericht beanstandet Regeln 
zur Datenanalyse bei der Polizei, www. 
heise.de 16.02.2023; Kurzlink: https:// 
heise.de/-7517629; Janisch, Künst- 
liche Intelligenz, die zu weit geht, SZ 
17.02.2023, 6; siehe auch den Beitrag 
von Mannah, S. 93). 


BVerfG 


Vor allem verdeckte Polizei- 
befugnisse in Mecklenburg- 
Vorpommern sind verfas- 
sungswidrig 


Das Bundesverfassungsgericht 
(BVerfG) hat mit Beschluss vom 
09.12.2022 mehrere Vorschriften zu 
polizeilichen Ermittlungsbefugnissen 
in Mecklenburg-Vorpommern (Sicher- 
heits- und Ordnungsgesetz - SOG MV) 
wegen Verstoß gegen das Recht auf in- 
formationelle Selbstbestimmung, den 
Schutz der Vertraulichkeit und Integ- 
rität informationstechnischer Systeme, 
das Fernmeldegeheimnis sowie die Un- 
verletzlichkeit der Wohnung für verfas- 


sungswidrig erklärt (1 BvR 1345/21). 
Die Klage hatte die Gesellschaft für Frei- 
heitsrechte (GFF) zusammen mit dem 
Bündnis „Sogenannte Sicherheit” im 
Juni 2021 eingereicht, um sich gegen 
die Überwachung von Menschen ohne 
konkreten Anlass zu stellen. Laut GFF 
handelt es sich bei der Entscheidung der 
Karlsruher Richter um ein Grundsatz- 
urteil, das auch für andere Bundeslän- 
der Grenzen für die Verschärfung von 
Polizeigesetzen setzt. 

Neben der nun entschiedenen Ver- 
fassungsbeschwerde laufen zu weiteren 
Bundesländern Klagen gegen die Ver- 
schärfung der dortigen Polizeigesetze. 
2019 hat die GFF zudem Beschwerde 
gegen ein 2017 reformiertes Bundeskri- 
minalamtsgesetz (BKAG) eingelegt, um 
sich gegen verdeckte Überwachungs- 
maßnahmen wie Staatstrojaner zu stel- 
len. Es wird kritisiert, dass mit diesem 
Gesetz große Datenbanken über viele 
Menschen in Deutschland zeitlich unbe- 
grenzt und „nach unklaren Regeln und 
zu unklaren Zwecken“ angelegt werden 
könnten. Zuvor hatte 2016 das Bundes- 
verfassungsgericht wesentliche Teile 
des BKA-Gesetzes für verfassungswid- 
rig erklärt (BVerfG 20.04.2016 - 1 BvR 
1140/09), das aber nach Ansicht der 
GFF unzureichend novelliert worden ist. 

Das Land Mecklenburg-Vorpommern 
hatte im Lichte dieses Urteils 2020 das 
SOG MV novelliert und neben anlasslo- 
sen Abhörmaßnahmen in und außer- 
halb der Wohnung den heimlichen Ein- 
satz von Staatstrojanern und der Ras- 
terfahndung ohne konkrete Gefahr auch 
eine längerfristige Überwachung ohne 
Anlass durch Polizeibeamte ermöglicht. 
Ebenfalls erlaubt wurde damit das heim- 
liche Betreten der Wohnung zwecks PC- 
Durchsuchung oder Quellen-Kommu- 
nikationsüberwachung (Quellen-TKÜ). 
Damit wäre auch die Überwachung der 
Messenger-Kommunikation vor oder 
nach deren Entschlüsselung möglich. 
Die Behörden greifen dafür meist auf 
sogenannte Staatstrojaner zurück. 

Das BVerfG beanstandete eine Re- 
gelung, die sich mit dem Einsatz von 
Vertrauenspersonen (V-Leuten) und 
verdeckt Ermittelnden befasst, weil sie 
den „Kernbereich privater Lebensge- 
staltung“ nicht ausreichend schützt. So 
wird vom Gericht der rechtlich nahezu 
unantastbare Bereich des menschlichen 
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Daseins beschrieben. Die Vorschrift hat 
zwar im Blick, dass Leute im Underco- 
ver-Einsatz sich sehr nahe an ihre „Ziel- 
person“ heranmachen müssen. Davon 
machte das Gesetz aber allzu großzügi- 
ge Ausnahmen. Schon eine nicht näher 
beschriebene „Gefährdung“ von Poli- 
zisten oder V-Leuten sollte genügen, 
damit sie weiter ermitteln dürfen. Das 
Gericht kippte die Vorschrift und stellt 
zum delikaten Thema des Sexeinsatzes 
- bekannt als Romeo- oder Venusfalle 
- klar, dass hier in die privateste Sphä- 
re eingedrungen wird, „weil staatlich 
veranlasst privateste Beziehungen auf 
täuschungsbedingter Grundlage ent- 
stünden”. Hierdurch kann sich der Staat 
Zugang zu besonders intimen Informa- 
tionen verschaffen, was in jedem Fall 
verfassungswidrig ist: „Ausgeschlossen 
wären etwa staatlich veranlasstes Ein- 
gehen einer intimen Beziehung zum 
Zweck der Informationsgewinnung oder 
der Einsatz einer Person als Vertrauens- 
person gegenüber der eigenen Ehepart- 
nerin oder dem eigenen Ehepartner.” 
Die Entscheidung beanstandet zudem 
weitere verfassungsrechtliche Grenz- 
überschreitungen. Immerwährendes 
Thema von Polizeigesetzen ist die Frage, 
bei welchem Gefahrengrad die Polizei 
zu welchen Überwachungsmaßnahmen 
greifen darf. Inzwischen existiert inso- 
fern eine feine Abstufung, die von einer 
„wenigstens konkretisierten Gefahr” 
bis zur „dringenden Gefahr” reicht. Je 
tiefer der Eingriff in die Grundrechte, 
desto höher ist die Hürde für die Polizei. 
Gemäß dem Urteil verstößt die in 
& 33b Abs. 1 Satz 2 SOG MV aufgeführ- 
te Wohnraumüberwachung gegen das 
Grundgesetz, „weil die Eingriffsschwelle 
nicht dem Erfordernis einer dringenden 
Gefahr” genügt. David Werdermann, 
Jurist und Verfahrenskoordinator, er- 
läutert: „Tiefe Grundrechtseingriffe 
wie die Wohnraumüberwachung oder 
die Telekommunikationsüberwachung 
sind nur gerechtfertigt, wenn eine 
konkrete Gefahr vorliegt. Die Polizei- 
rechtsverschärfungen in verschiedenen 
Bundesländern, die Überwachung weit 
im Vorfeld einer Gefahr zulassen, ver- 
letzen das Grundgesetz.” „Sogenannte 
Sicherheit“-Sprecher Micha Milz er- 
gänzt: „Hier wird besonders deutlich, 
dass die Landesregierung unter dem 
Vorwand der Terrorbekämpfung mas- 
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senweise Daten verarbeiten wollte, 
ohne dass eine konkrete Gefahr vorlie- 
gen musste.” Beanstandet wurde auch 
die Regelung zur Online-Durchsuchung 
(8 33c Abs. 1 Satz 2 SOG MV). 

Das SOG MV bediente sich an mehreren 
Stellen eines gern verwendeten Kunst- 
griffs: Es verweist auf sog. Vorfeldpara- 
grafen im Strafgesetzbuch, die ihrerseits 
bestimmte Gefahrenlagen unter Strafe 
stellen. Dazu gehört u.a. die „Vorberei- 
tung einer schweren staatsgefährdenden 
Gewalttat”. Täter können mit bis zu zehn 
Jahren Haft bestraft werden, weil sie die 
Gefahr eines Anschlags geschaffen ha- 
ben. Kombiniert man solche Vorschriften 
mit dem Polizeigesetz, entsteht eine Art 
Verdoppelungseffekt: Die Polizei dürfte 
etwa einen Lauschangriff schon schal- 
ten, wenn die Gefahr einer Gefahr be- 
steht. Das wird vom BVerfG nicht hinge- 
nommen: Durch solche Verknüpfungen 
werde „die Eingriffsschwelle in verfas- 
sungswidriger Weise abgesenkt”. 

Ein Teil der verfassungswidrigen Vor- 
schriften wurde nicht aufgehoben, son- 
dern lediglich für mit der Verfassung 
unvereinbar erklärt - verbunden mit 
der Anordnung ihrer befristeten Fort- 
geltung. Grund dafür ist, dass nicht 
der Kern der mit ihnen eingeräumten 
Befugnisse betroffen ist, sondern ein- 
zelne Aspekte ihrer rechtsstaatlichen 
Ausgestaltung, die der Gesetzgeber bis 
Ende 2023 nachbessern kann, damit die 
verfolgten Ziele auf verfassungsmäßige 
Weise verwirklicht werden können. 

Über manche Punkte wurde aus for- 
mellen Gründen nicht entschieden, 
etwa über Drohneneinsätze, da nicht 
klar war, inwieweit dies die Beschwer- 
deführer betrifft. Rechtsanwältin Kath- 
rin Hildebrandt aus Rostock, eine der 
Beschwerdeführerinnen, betont: „Nach 
dem Gesetz wären (...) nicht nur viele 
meiner Mandanten, sondern auch ich 
selbst als deren sogenannte Kontakt- 
person, Maßßnahmen wie längerfristigen 
Observationen, Kamera-Überwachung 
oder der Ausspähung durch verdeck- 
te arbeitende Polizeibeamte oder mit 
der Polizei zusammenarbeitende Per- 
sonen ausgesetzt.” Das Polizeigesetz 
muss also umfassend überarbeitet wer- 
den (Koch, www.heise.de 01.02.2023; 
Kurzlink: https://heise.de/-7477964; 
Janisch, Ende des Polizei-Romeos, SZ 
02.02.2023, 5; BVerfG, PM 15/2023 v. 


01.02.2023, Gesetz über die öffentli- 
che Sicherheit und Ordnung in Meck- 
lenburg-Vorpommern teilweise verfas- 
sungswidrig). 


BVerwG 


Handyauslesen bei Asylsu- 
chenden nur im Ausnahme- 
fall 


Das Bundesverwaltungsgericht 
(BVerwG) hat mit Urteil vom 16.02.2023 
entschieden, dass der Ansatz des Bun- 
desamts für Migration und Flüchtlinge 
(BAMF), Handys und andere Daten- 
träger bei der Registrierung von Asyl- 
antragstellern zu durchsuchen und 
auszuwerten, wenn diese keine Pässe 
oder Ersatzpapiere vorweisen können, 
unrechtmäßig ist (Az. 1C 19.21). Es gab 
einer klagenden Afghanin recht, die im 
Jahr 2019 ins Bundesgebiet einreiste 
und mit einem nationalen Ausweisdo- 
kument (Tazkira) ohne biometrische 
Daten und mit Heiratsurkunde Asyl be- 
antragte. 

Das BAMF forderte die Klägerin damals 
auf ihr Mobiltelefon herauszugeben so- 
wie dessen Zugangsdaten mitzuteilen. 
Dem kam die Asylbewerberin nach, die 
ihr Handy nach der Datenauslesung und 
-speicherung zurückbekam. Dagegen 
wehrte sich die Frau im Frühjahr 2020 
gerichtlich mit Unterstützung der Ge- 
sellschaft für Freiheitsrechte (GFF), die 
noch weitere verwaltungsgerichtliche 
Klagen in ähnlich gelagerten Fällen ko- 
ordiniert. Laut der Bürgerrechtsorga- 
nisation ist die Analyse von Daten aus 
portablen Datenträgern von Asylantrag- 
stellern durch BAMF ein unverhältnis- 
mäßig tiefer Eingriffin die Privatsphäre 
und zudem fehleranfällig. 

Das Verwaltungsgericht hatte festge- 
stellt, dass die Anordnung gegenüber 
der Klägerin, die Zugangsdaten für ihr 
Mobiltelefon zur Verfügung zu stellen, 
rechtswidrig und das Bundesamt nicht 
berechtigt gewesen sei die Daten der 
Klägerin von ihrem Mobiltelefon aus- 
zulesen, mittels Software auszuwerten, 
den aus der Auswertung generierten 
Ergebnisreport für das Asylverfahren 
freizugeben und der Entscheidung über 
den Asylantrag zugrunde zu legen. Die 
sonst vorliegenden Erkenntnisse und 
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Dokumente hätten gegenüber der Da- 
tenauswertung ein milderes Mittel zur 
Identitätsfeststellung dargestellt. 

Das BVerwG bestätigte mit dem Urteil 
nun die Entscheidung der Vorinstanz 
und wies die dagegen gerichtete Re- 
vision des BAMF zurück. Die Auswer- 
tung von Mobiltelefonen und anderen 
Datenträgern sei erst zulässig, wenn 
die Identitätsfeststellung „nicht durch 
mildere Mittel erreicht werden kann” 
(8 15a Abs. 1 Satz 1 AsylG). Im konkre- 
ten Fall hätte das BAMF etwa noch Taz- 
kira und Heiratsurkunde heranziehen 
sowie Registerabgleiche und Nachfra- 
gen beim Sprachmittler zu sprachlichen 
Auffälligkeiten durchführen können. 
Das Vorgehen der Behörde war daher 
unverhältnismäßig. 

Das BAMF darf Handy-Daten prinzipi- 
ell seit einer umstrittenen Reform des 
Asylgesetzes im Jahr 2017 auswerten, 
um die Ausreisepflicht besser durchzu- 
setzen. Mitarbeiter können auf dieser 
Basis auch Laptops, Tablets und USB- 
Sticks von Asylbewerbern ohne rich- 
terliche Genehmigung auslesen, um de- 
ren Identität und Staatsangehörigkeit 
festzustellen. Die Regel greift aber nur, 
wenn ein Migrant Name und Herkunft 
nicht anderweitig nachweisen kann. 
Für die GFF-Verfahrenskoordinatorin 
Lea Beckmann ist das Urteil ein „großer 
Erfolg“. Das BAMF müsse seine Praxis 
jetzt prinzipiell stoppen. Die GFF ist 
überzeugt, dass das Auslesen von Han- 
dys und die Auswertung der Daten nicht 
mit der Datenschutz-Grundverordnung 
(DSGVO) und der EU-Grundrechtechar- 
ta vereinbar ist. Beim Bundesdaten- 
schutzbeauftragten Ulrich Kelber ist 
dazu noch eine Beschwerde anhängig. 

Dessen Vorgängerin Andrea Voßhoff 
hatte die Befugnis während des Ge- 
setzgebungsverfahrens als potenziell 
verfassungswidrig eingestuft. Kelber 
bestätigte: „Seit vielen Jahren schaffen 
die Gesetzgeber in EU, Bund und Län- 
dern immer neue Möglichkeiten für die 
Datenerhebung von Behörden, die sich 
danach als rechtswidrig herausstellen.” 
Das müsse sich dringend ändern; die 
Bürger verlören ansonsten das Vertrau- 
en in die Politik (Bundesverwaltungs- 
gericht, PM Nr. 13/2023 v. 16.02.2023, 
Voraussetzungen der Auswertung digi- 
taler Datenträger durch das Bundesamt 
für Migration und Flüchtlinge im Asyl- 
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verfahren; Krempl, Gängige Praxis zur 
Handy-Datendurchsuchung bei Flücht- 
lingen ist rechtswidrig, www.heise.de 
17.02.2023, Kurzlink: https://heise. 
de/-7519706). 


VG Hannover 


Handscanner-Leistungs- 
kontrolle bei Amazon ist 
verhältnismäßig 


Gemäß einem Urteil des Verwaltungs- 
gerichts (VG) Hannover vom 09.02.2023 
darf Amazon in seinem Logistikzentrum 
in Winsen (Luhe) bei Hamburg weiter- 
hin und unverändert die Arbeitsge- 
schwindigkeit der Mitarbeiter mithilfe 
von Handscannern überwachen (Az. 10 
A 6199/20). Das Verfahren fand vor Ort 
bei Amazon in Winsen statt; die Rich- 
terinnen und Richter hatten sich auch 
von Amazon durch das Logistikzentrum 
führen lassen. Mit dem Urteil erklärte 
das VG eine Verfügung der niedersäch- 
sischen Datenschutzbehörde, der Lan- 
desbeauftragten für Datenschutz, für 
rechtswidrig. Die Behörde hatte Ama- 
zon die „ununterbrochene jeweils aktu- 
elle und minutengenaue Erhebung und 
Verwendung bestimmter Beschäftigten- 
daten“ untersagt. Dagegen wehrte Ama- 
zon sich mit der Klage vor dem VG. 

Die entscheidende Frage war die nach 
der Verhältnismäßigkeit: Was wiegt 
schwerer - das Interesse Amazons, die 
Abläufe im Logistikzentrum zu optimie- 
ren und die Leistung der Mitarbeiter zu 
überwachen, oder der Schutz der Men- 
schen vor der Erfassung jedweden Ar- 
beitsschritts? Die Vorsitzende der Kam- 
mer erklärte, die Abwägung sei „sehr 
schwierig” gewesen: „Wir haben keine 
Zweifel, dass es einen Anpassungs- und 
Überwachungsdruck gibt.” Dies gelte 
besonders für die befristet Beschäftig- 
ten. Doch die Interessen Amazons seien 
gewichtiger. 

Das Gericht führte unter anderem an, 
dass die Überwachung auch positiv auf 
die Mitarbeiter wirke, da sie objektives 
Feedback ermögliche. Sie reduziere zu- 
dem Stress, da Mitarbeiter „gemäß ihres 
Könnens” eingesetzt werden könnten: 
„Das führt zu gleichmäßigerer Lasten- 
verteilung und geringerer Frustration.” 
Es gehe außerdem nicht um besonders 


sensible Daten oder eine Verhaltens- 
kontrolle, sondern nur um die Leistung. 
Obendrein habe das Gericht den Ein- 
druck gewonnen, dass dem Betriebs- 
rat „wegen der Überwachung nicht die 
Bude eingerannt wird“. Aus Sicht der 
Richter ist die Verfügung der Daten- 
schutzbehörde noch aus einem weite- 
ren Grund rechtswidrig: Sie sei gar nicht 
geeignet die Rechte der Mitarbeiter zu 
schützen. Da die Behörde bloß „unun- 
terbrochene“ Datenerfassung untersagt 
habe, könne Amazon den Prozess für 
eine Minute oder Sekunde unterbrechen 
und sogleich fortsetzen, womit den Mit- 
arbeitern aber nicht geholfen wäre. 

Zur „Beweisaufnahme” befragte das 
Gericht auch eine ehemalige sowie den 
aktuellen Betriebsratsvorsitzenden. 
Dabei kam unter anderem zur Sprache, 
dass Amazon die per Handscanner er- 
fassten Daten zur Arbeitsgeschwindig- 
keit nicht nur für Personalentscheidun- 
gen und spontane „Feedbackgespräche” 
verwendet, sondern dass die Mitarbeiter 
an bestimmten Stationen ihren aktuel- 
len Geschwindigkeitswert auch ständig 
angezeigt bekommen. Grundsätzlich 
erfassen die Mitarbeiter mit den Hand- 
scannern, welches Produkt sie in wel- 
chen Transportkorb oder welches Regal- 
fach gelegt haben. Amazon nutzt diese 
Daten nicht nur zur Qualitätssicherung 
und zur Vermeidung von Warenstaus im 
Logistikzentrum, sondern verknüpft sie 
auch mit den Profilen der Mitarbeiter. 

Die Landesbeauftragte für den Daten- 
schutz (LfD) Niedersachsen, Barbara 
Thiel, kommentierte die Entscheidung: 
„Ich bin nach wie vor der Auffassung, 
dass das allgemeine Persönlichkeits- 
recht der Mitarbeiterinnen und Mitar- 
beiter überwiegt. Der durch die minu- 
tengenaue Leistungsdatenerhebung so- 
wie deren weitere Verarbeitung entste- 
hende Anpassungs- und Leistungsdruck 
ist aus meiner Sicht höher zu gewichten 
als das wirtschaftliche Interesse des Un- 
ternehmens.” Wie das VG sieht auch die 
LfD, dass für den Beschäftigtendaten- 
schutz dringender Handlungsbedarf des 
Bundesgesetzgebers besteht und klare 
Regelungen erlassen werden müssen: 
„Die Grenzen einer Datenverarbeitung 
von Beschäftigten müssen gesetzlich 
klar festgelegt werden.” Ein Sprecher 
der Datenschutzbehörde ergänzte, die 
Tatsache, dass das Gericht eine Beru- 


117 


fung zugelassen habe, sei ein Hinweis 
darauf, dass auch eine andere Sichtwei- 
se nicht als abwegig angesehen werde. 
Die Behörde legte Berufung ein. Ein Ver- 
treter von Amazon erklärte: „Wir freuen 
uns über die Entscheidung des Verwal- 
tungsgerichts Hannover.“ Warenwirt- 
schaftssysteme seien branchenüblich 
und Untersuchungen zeigten, dass sie 
sich positiv auf die Arbeitserfahrung der 
Mitarbeiter auswirken (Wölbert, Leis- 
tungsüberwachung: Amazon gewinnt 
vor Gericht gegen Datenschutzbehörde, 
www.heise.de 09.02.2023, Kurzlink: 
https://heise.de/-7491037; Thiel: „Das 
allgemeine Persönlichkeitsrecht der 
Mitarbeiterinnen und Mitarbeiter über- 
wiegt unternehmerische Interessen“, 
PE LfD Nds. 10.02.2023). 


VG Hamburg 


Einstweilige Anordnung 
gegen Fingerabdruck auf 
Personalausweis 


Das Verwaltungsgericht (VG) Hamburg 
ordnete mit Beschluss vom 22.02.2023 
an, dass einer Privatperson einstweilig 
ein Personalausweis ohne darauf ge- 
speicherte Fingerabdrücke ausgestellt 
werden muss (Az.: 20 E 377/23). Seit 
August 2021 sind Bundesbürger beim 
Beantragen eines neuen Personalaus- 
weises gesetzlich verpflichtet mit einem 
Scanner Abdrücke des linken und rech- 
ten Zeigefingers abnehmen und aufdem 
Ausweis digital speichern zu lassen. 
Das VG Hamburg entschied mit einer 
einstweiligen Anordnung, dass die zu- 
ständige Behörde der Hansestadt einem 
Antragsteller ein solches hoheitliches 
Dokument auch ohne die auf dem Chip 
zusammen mit dem biometrischen Ge- 
sichtsbild gespeicherten Fingerabdrü- 
cke ausstellen muss. Der Ausweis solle 
zunächst befristet für ein Jahr gelten, 
bis die Rechtslage höchstrichterlich ge- 
klärt ist. 

Die Hamburger Richter bezweifeln in 
dem Eilverfahren „erheblich“ die Recht- 
mäßigkeit der EU-Verordnung, die die 
Speicherpflicht für alle Mitgliedsstaaten 
vorschreibt. Es bestehe Dringlichkeit, 
um zu vermeiden, dass der Antragsteller 
„einen schweren und nicht wiedergut- 
zumachenden Schaden erleidet”. Ohne 
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Erlass einer einstweiligen Anordnung 
und die Gewährung vorläufigen Rechts- 
schutzes wäre dieser gezwungen seine 
Fingerabdrücke bei der Beantragung 
eines neuen Personalausweises abzu- 
geben. Dies würde für ihn „einen er- 
heblichen Nachteil bedeuten, da es sich 
hierbei um besonders geschützte Daten 
handelt”. Die zuständige Behörde kann 
gegen den Beschluss noch Beschwerde 
einlegen. 

In Deutschland müssen Personen über 
16 Jahre einen Personalausweis oder 
Reisepass besitzen. Sonst drohen Buß- 
gelder bis zu 5.000 Euro. Hintergrund 
des Hamburger Streits ist eine Klage von 
Detlev Sieber von der Bürgerrechtsor- 
ganisation Digitalcourage vom Dezem- 
ber 2021 gegen die hiesige Auflage zur 
Fingerabdruckabnahme und das ihr 
zugrundeliegende EU-Gesetz vor dem 
Verwaltungsgericht Wiesbaden, „weil 
ich nicht wie ein Verbrecher behandelt 
werden will”. Das VG Wiesbaden äußerte 
Anfang 2022 ebenfalls erhebliche Zwei- 
fel an der Rechtmäßigkeit der Bestim- 
mung. Die dortigen Richter hielten sie 
für unvereinbar mit den Artikeln 7 und 
8 der EU-Grundrechtecharta zum Schutz 
der Privatsphäre (DANA 1/2022, 17). Sie 
legten den Fall dem Europäischen Ge- 
richtshof (EuGH) vor, deram 14.03.2023 
erstmals darüber verhandelte. Das VG 
Wiesbaden bewertete den Nutzen der 
biometrischen Chips für vergleichsweise 
gering, weil der Personalausweis bei der 
Einreisekontrolle eine weitaus geringe- 
re Rolle spiele als der Reisepass, für den 
der EuGH 2013 die Fingerabdruckpflicht 
gebilligt hatte. 

Die Richter am EuGH fragten bei der 
Anhörung häufig kritisch nach, insbe- 
sondere zur in der Verordnung einge- 
räumten Frist zwischen der Erhebung 
der Fingerabdruckdaten in den Be- 
hörden und der vorgeschriebenen Lö- 
schung. Diese führt dazu, dass die sen- 
siblen biometrischen Merkmale bis zu 90 
Tage in den Ämtern gespeichert werden 
dürfen. Ferner sieht die Verordnung vor, 
dass die Daten prinzipiell auch für ande- 
re Zwecke als die Ausweiserstellung ge- 
nutzt werden können. Einer der Luxem- 
burger Richter monierte, dass die euro- 
päischen Gesetzgeber hier mit dem Ziel, 
die Sicherheit der Ausweise zu erhöhen, 
de facto eine neue Sicherheitslücke ge- 
schaffen hätten. Insgesamt schien der 


EuGH die Vorlage aber skeptisch zu se- 
hen. So fragte der als Berichterstatter 
zuständige Richter Eugene Regan bei 
der Anhörung, ob biometrische Daten 
nicht doch ein „angemessener Mecha- 
nismus” zur Überprüfung der Identität 
seien. Die Bürgerrechtler befürchten, 
dass per Fingerabdruck-Scanner geklau- 
te Scans eine Eintrittskarte zum Identi- 
tätsklau und -missbrauch sind. Das In- 
teresse an dem Verfahren ist laut Julia 
Witte von Digitalcourage hoch: „Wir be- 
kommen unheimlich viele Anfragen von 
Menschen.” Diese lehnten die Speicher- 
pflicht ab und wollten ihre Fingerab- 
drücke nicht abgeben (Krempl, Verwal- 
tungsgericht: Bürger hat Anspruch auf 
Personalausweis ohne Fingerabdrücke, 
www.heise.de 16.03.2023; Kurzlink: 
https://heise.de/-7547213; Janisch, 
Hände weg, SZ 15.03.2023, 1). 


OLG Frankfurt/Main 


„bankrott” als Autocom- 
plete-Voranzeige ist 
zulässig 


Das Oberlandesgericht Frankfurt 
am Main (OLG) hat mit Urteil vom 
20.04.2023 entschieden, dass ein ehe- 
mals insolventer Unternehmer keinen 
Anspruch gegen Google hat, dass bei de- 
ren „Autocomplete”-Funktion der Such- 
maschine zusammen mit seinem Namen 
nicht das Wort „bankrott” angezeigt 
wird (Az. 16 U 10/22). Das OLG meinte, 
anders als die Vorinstanz des Landge- 
richts Frankfurt (01.12.2021, Az. 2-34 
0 37/21), dass eine solche Verknüpfung 
in Einzelfällen zulässig sei. 

Das Ergebnis der Autocomplete-Funk- 
tion sei „erkennbar unbestimmt und 
enthalte keine eigenständige Behaup- 
tung”. Der Nutzer wisse, dass es automa- 
tisch generiert werde. Konkrete Bedeu- 
tung erlange die Kombination erst nach 
weiteren Recherchen. 

Geklagt hatte der Inhaber einer Un- 
ternehmensgruppe, die Hotels einrich- 
tet. Zwei Unternehmen dieser Gruppe 
wurden vor zehn Jahren im Zusammen- 
hang mit Ermittlungen von Steuerbe- 
hörden insolvent und sind mittlerweile 
aus dem Handelsregister gelöscht. Der 
Kläger wehrte sich dagegen, dass in 
Googles Suchmaske das Wort „bankrott” 
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erscheint, sobald sein Vor- und Nachna- 
me eingegeben wird. Auch wollte er er- 
reichen, dass eine Webseite, die sich auf 
die Zahlungsunfähigkeit bezieht, nicht 
mehr angezeigt und verlinkt wird. 

Das OLG meint, der Kläger könne sich 
mit seiner Forderung nicht auf die Da- 
tenschutz-Grundverordnung (DSGVO) 
berufen. Die Autocomplete-Funktion sei 
zwar eine automatische Verarbeitung 
personenbezogener Daten, allerdings 
müssten hier die Interessen des Klägers 
auf Achtung des Privat- und Familien- 
lebens, des Schutzes personenbezoge- 
ner Daten und der unternehmerischen 
Freiheit zurücktreten. Schwerer wögen 
das Interesse einer breiten Öffentlich- 
keit am Zugang zu Informationen sowie 
Googles Recht auf unternehmerische 
Freiheit und freie Meinungsäußerung. 

Dabei berücksichtigte das OLG, dass 
die Bedeutung des Suchvorschlags 
„bankrott” offenbleibe und unbestimmt 
sei. Einem verständigen Internetnutzer 
sei bewusst, dass der Suchvorschlag Er- 
gebnis eines automatischen Vorgangs 
sei. Der Nutzer könne mit der angezeig- 
ten Kombination zunächst „nichts an- 
fangen”, sie habe keine eigenständige 
Bedeutung und sei kein Anlass für wei- 
tere Recherchen. 

Selbst wenn der Nutzer eine Verbin- 
dung zwischen dem Kläger und dem Be- 
griff „bankrott“ herstellen würde, wäre 
offen, wie diese Verbindung inhaltlich 
auszusehen hätte. Zu berücksichtigen 
sei auch, dass es für die Verbindung 
zwischen dem Namen des Klägers und 
dem Begriff „bankrott” tatsächliche An- 
knüpfungstatsachen gebe. Der Begriff 
sei auch nicht allein im Sinne von 8 283 
StGB zu interpretieren, der einen Bank- 
rott unter bestimmten Umständen unter 
Strafe stellt; er werde vielmehr im allge- 
meinen Sprachgebrauch verwendet. 

Die Entscheidung ist nicht rechts- 
kräftig. Der Kläger kann sich noch an 
den Bundesgerichtshof (BGH) wenden. 
Dieser hatte vor fast genau zehn Jah- 
ren entschieden, dass Google in seine 
Suchvorschläge eingreifen muss, wenn 
sie Persönlichkeitsrechte verletzen. Da- 
mals ging es um einen Kläger, der sich 
durch die automatische Vervollstän- 
digung seines Namens um die Begriffe 
„Scientology“ und „Betrug“ in seinen 
Rechten verletzt sah. Gegen Google hat- 
te auch Bettina Wulff, Frau des ehema- 
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ligen Bundespräsidenten, geklagt. Sie 
sah ihren Namen in Googles Suchmas- 
ke mit ihr unliebsamen Begriffen ver- 
knüpft und einigte sich 2015 mit dem 
Suchmaschinenanbieter außergericht- 
lich (Wilkens, Urteil: Googles Autocom- 
plete darf „bankrott” anzeigen, www. 
heise.de 20.04.2023, Kurzlink: https:// 
heise.de/-8974441; Klage gegen Google 
zurückgewiesen, https://ordentliche- 
gerichtsbarkeit.hessen.de 20.04.2023). 


LG Ravensburg 


Per ED-Maßnahme erzwun- 
gener Fingerabdruck dient 
Handy-Entsperrung 


Das Landgericht Ravensburg (LG) hat 
mit Beschluss vom 14.02.2023 entschie- 
den, dass die Polizei einem Verdäch- 
tigen einen Fingerabdruck abnehmen 
darf, um dessen Mobiltelefon zu ent- 
sperren (Az.: 2 Qs 9/23 jug.). Mit dem 
Auflegen eines Fingers oder dem Blick 
in die Kamera kann dank biometrischer 
Mustererkennung ein IT-Gerät wie ein 
Smartphone oder ein Laptop sekunden- 
schnell ohne Passworteingabe entsperrt 
werden. Was für den Nutzer bequem ist, 
macht sich die Justiz zunehmend zu- 
nutze. Mit Beschluss des Amtsgerichts 
Ravensburg vom 12.01.2023 war die 
aufgrund richterlichen Durchsuchungs- 
beschlusses bewirkte Beschlagnahme 
des Mobiltelefons des Beschuldigten be- 
stätigt und die Abnahme und Nutzung 
der Fingerabdrücke des Beschuldigten 
zum Zwecke der Entsperrung seines Mo- 
biltelefons angeordnet worden. Die Be- 
schwerde hiergegen blieb erfolglos. 

In dem Fall hatte sich ein wegen des 
Verdachts der Anstiftung zur uner- 
laubten Einfuhr von und dem Handel 
mit Betäubungsmitteln in nicht gerin- 
ger Menge Beschuldigter gegenüber 
der Polizei geweigert sein Smartphone 
selbst zu entsperren. Er war insbeson- 
dere nicht bereit den passenden Finger 
auf den Sensor des Handys zu legen. 
Der Ermittlungsrichter ordnete darauf- 
hin an, dass dem Mann Fingerabdrü- 
cke abgenommen werden. Mit damit 
gefertigten Prints verschafften sich die 
Beamten Zugang zu dem Mobiltelefon. 
Der Verdächtige beschwerte sich über 
das Vorgehen beim Landgericht. Die 


2. Strafkammer beschloss daraufhin, 
dass dieangefochtene Entscheidung „der 
Sach- und Rechtslage” entspreche. Die 
Anordnung zur Abnahme von Fingerab- 
drücken des Beschuldigten „auch gegen 
seinen Willen und erforderlichenfalls im 
Wege der zwangsweisen Durchsetzung” 
sowie die Anordnung zur Nutzung der 
hieraus resultierenden biometrischen 
Daten für Zwecke der Entsperrung des 
Mobiltelefons fänden ihre Grundlage in 
8 81b Abs. 1 Strafprozessordnung (StPO). 

In der angeführten Regelung werden 
erkennungsdiensticke Maßnahmen 
„für die Zwecke der Durchführung des 
Strafverfahrens” oder des Erkennungs- 
dienstes erlaubt. Als die Vorschrift in 
Kraft trat, stand der Abgleich von Fin- 
gerabdrücken mit Tatortspuren und 
Karteikarten oder die Identifizierung 
von Personen im Vordergrund. Damit 
soll auch der Aufbau des Europäischen 
Strafregisterinformationssystems er- 
möglicht werden. Smartphones und 
biometrische Erkennungssysteme zur 
Authentifizierung gab es damals noch 
nicht und sie waren keine gesetzgeberi- 
sche Intention. 

Das LG entschied aber, dass es sich bei 
der Nutzung der festgestellten Finger- 
abdrücke für Zwecke des Entsperrens 
des Mobiltelefons des Beschuldigten 
um eine „ähnliche Maßnahme” zu den 
in 8 81 StPO vorgesehenen handelt. Es 
sei zwar sicherlich nicht der „klassi- 
sche Fall”, der dem Gesetzgeber vorge- 
schwebt habe. Dieser habe die Klausel 
aber offen formuliert. So „wird erreicht, 
dass sich der statische Gesetzeswortlaut 
an den jeweiligen Stand der Technik 
anpasst”. Im Sinne dieses „technikoffe- 
nen” Ansatzes komme der Verwendung 
„der festgestellten Fingerabdrücke zum 
Entsperren eines Mobiltelefons auch 
eine Identifizierungsfunktion zu”. Die 
Abnahme und Verwendung von Finger- 
abdrücken für das Öffnen des Mobilte- 
lefons sei für Zwecke der Durchführung 
des Strafverfahrens „notwendig und 
mithin verhältnismäßig“: „Insbesonde- 
re bleibt das Grundrecht des Beschul- 
digten auf informationelle Selbstbe- 
stimmung hinter dem Interesse der 
Allgemeinheit an einer effektiven Straf- 
rechtspflege zurück.” Damit werde auch 
die Hürde der Angemessenheit über- 
sprungen. Die Maßnahme sei „geeignet 
und erforderlich“, um Erkenntnisse für 
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die zu führenden Ermittlungen zu ge- 
winnen. 

Das Entsperren des Speichermediums 
sei „ein notwendiges Zwischenziel”. Der 
Zugriff auf die auf dem Mobiltelefon ge- 
speicherten Daten könne in der Regel 
„mit ähnlicher Begründung” auf andere 
Normen wie etwa & 110 StPO gestützt 
werden. Die Maßnahme sei auch deswe- 
gen erforderlich, weil der Beschuldigte 
den Code nicht freiwillig herausgegeben 
habe und etwaige Passwörter nicht auf- 
findbar gewesen seien. 

Der auf Straf- und IT-Recht speziali- 
sierte Rechtsanwalt Jens Ferner kriti- 
siert die Entscheidung als „mutlos” und 
„ein Stück weit traurig“. Es handle sich 
um das „übliche Ergebnis, das entsteht, 
wenn man ergebnisorientiert ‚argumen- 
tiert”. Dabei sei besonders problema- 
tisch, dass „Zufallsfunde” möglich sei- 
en. Wenn Ermittler also wegen Verdachts 
auf Drogenhandel ein Handy durch- 
suchen und verbotene andere Inhalte 
finden, gebe es das nächste Strafver- 
fahren. Das Smartphone als „ausgela- 
gertes Gehirn” stehe dabei „vollständig 
zur Verfügung, das gesamte Leben wird 
durch Strafverfolger untersucht”. Die 
Richter hätten „wesentliche Literatur” 
außen vorgelassen und nicht hinrei- 
chend abgewogen. Damit würde das LG 
„vollkommen Dimension und Tragweite 
derartiger Entscheidungen” verkennen: 
„Der Fingerabdruck ist der Anfang - 
wie will man damit umgehen, wenn das 
Smartphone vor das Gesicht gehalten 
wird und die Person nicht mitwirkt und 
Grimassen zieht?” Vielen sei nicht klar, 
dass hier ein Widerstand gegen Voll- 
streckungsbeamte drohe. Damit wiede- 
rum nähme die grundrechtliche Debatte 
ganz neu Fahrt auf. Er vermutet, dass 
die Maßnahme „Schule machen“ wird. 

Dies befürchtet auch Rechtsanwalt 
Udo Vetter: Künftig werde man bei ei- 
nem Polizeikontakt wohl nicht nur sei- 
nen Ausweis zeigen, sondern je nach 
Gesprächsverlauf auch noch seinen 
Fingerabdruck hergeben, damit die 
Beamten „mal auf das Handy schau- 
en können”. Dies fange schon „bei der 
durch andere Urteile entfachten Jagd 
auf Blitzer-Apps an“. Dabei sei zu be- 
denken, dass die Abnahme von Finger- 
abdrücken nicht unter Richtervorbe- 
halt steht. Beide Anwälte raten daher 
jegliche biometrische Entschlüsselung 
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zu deaktivieren (Krempl, Polizei ent- 
sperrt Smartphone: Landgericht billigt 
erzwungenen Fingerabdruck, www. 
heise.de 11.03.2023, Kurzlink: https:// 
heise.de/-7542934; Entsperren Mobil- 
telefon, Fingerabdruck, zwangsweise 
Abnahme, Zulässigkeit, https://www. 
burhoff.de/asp_weitere_beschluesse/ 
inhalte/7646.htm). 


AG Trier 


Kein Beweisverwertungs- 
verbot beim Handy-Blitzer 
ohne Rechtsgrundlage 


Das Amtsgericht Trier wies mit Urtei- 
len vom 02.03.2023 Einsprüche von drei 
Autofahrern gegen Bußgeldbescheide 
wegen Nutzung eines Mobiltelefons am 
Lenkrad zurück. Zwar stellte das Gericht 
fest, dass es bisher keine Rechtsgrund- 
lage für den Einsatz des neuen Geräts 
gibt. Dennoch dürften die vorgelegten 
Beweise für unerlaubte Handy-Nutzung 
am Steuer vom Gericht verwertet wer- 
den. Rheinland-Pfalz hatte als erstes 
Bundesland den „Handy-Blitzer” seit 
Juni 2022 jeweils drei Monate lang 
zunächst in Trier und dann in Mainz 
getestet. Das in den Niederlanden ent- 
wickelte System sieht einem normalen 
Tempo-Blitzer ähnlich. Von einer Auto- 
bahnbrücke aus werden zunächst alle 
vorbeifahrenden Fahrzeuge per Video 
aufgenommen. Gespeichert werden die 
Bilder aber erst, wenn die Auswertungs- 
software ein Handy und eine typische 
Handhaltung für Handynutzung beim 
Fahrer oder der Fahrerin erkannte. 

Der Verkehrsrechtler Jürgen Verheul, 
der zwei Betroffene vertritt, kündigte 
an beim Oberlandesgericht Koblenz Be- 
schwerde einzulegen: „Das ist eine Er- 
messensfrage, aber ich finde das nicht 
konsequent.” Das rheinland-pfälzische 
Innenministerium hatte zuvor erklärt, 
für eine dauerhafte Nutzung sei zwei- 
fellos eine „spezifische Rechtsgrundla- 
ge” nötig. Für den Pilotversuch könne 
man jedoch auf eine Generalklausel im 
Polizei- und Ordnungsbehördengesetz 
des Landes zur Gefahrenabwehr zu- 
rückgreifen. 

Dies sah der Trierer Amtsrichter Da- 
vid Geisen-Krischel anders: „Der Ein- 
satz kann nicht auf die Generalklausel 


gestützt werden.” Es gebe „keine aus- 
reichende gesetzliche Grundlage für 
die Maßnahme“. Auch bei einem Pilot- 
projekt könne nicht auf eine Ermäch- 
tigungsgrundlage verzichtet werden, 
zumal schon in der Versuchsphase Buß- 
geldbescheide ergangen seien. Trotz 
fehlender Rechtsnorm dürften die ge- 
sammelten Beweise dennoch verwertet 
werden, weil die rechtliche „Eingriffs- 
intensität“ nicht so hoch sei. Es gebe 
vielmehr ein erhebliches öffentliches 
Interesse an der Sanktionierung der 
Handy-Nutzung am Lenkrad. 

Verheul monierte, das Gericht habe 
„eindeutig zum Ausdruck gebracht, 
dass diese Maßnahme eigentlich gar 
nicht hätte stattfinden dürfen”, aber 
kein Beweisverwertungsverbot ausge- 
sprochen. Mit dem Einsatz des „Handy- 
Blitzers* ohne Rechtsgrundlage werde 
das Recht auf informationelle Selbst- 
bestimmung verletzt. Auch bei einem 
Probebetrieb müssten die rechtlichen 
Grundlagen vorhanden sein, wenn es 
Sanktionen gebe. In einem vierten Fall 
gab es einen Freispruch, weil der Au- 
tofahrer argumentierte, er habe kein 
Handy, sondern sein Blutzuckermess- 
gerät in der Hand gehabt. Ein fünfter 
Fall wurde wegen fehlender Unterlagen 
vertagt. Alleine auf der Autobahn 602 
in Kenn bei Trier sind nach Polizeian- 
gaben 327 Autofahrer mit dem Handy 
in der Hand erwischt worden. Und ha- 
ben 100 Euro Bußgeld und einen Punkt 
in Flensburg auferlegt bekommen. Wie 
viele Bußgeldbescheide im Laufe des 
sechsmonatigen Einsatzes des „Handy- 
Blitzers” insgesamt ausgestellt wurden, 
wollte das Ministerium trotz mehrfacher 
Anfrage nicht mitteilen. Das Innenmi- 
nisterium werde eine Bilanz zum Pilot- 
projekt präsentieren, hieß es. 

Der Allgemeine Deutsche Automobil- 
Club (ADAC) kritisierte die Entschei- 
dungen des Amtsgerichts Trier. Es sei 
nicht in Ordnung, dass die Autofahrer 
die Bußgeldbescheide zahlen müss- 
ten. Denn für die Aufzeichnung der 
Autofahrer durch ein Kamerasystem 
fehle die gesetzliche Grundlage und es 
werde in die Persönlichkeitsrechte der 
Autofahrer eingegriffen. Damit dürf- 
ten auch die Fotos nicht verwendet 
werden. Der Datenschutzbeauftragte 
des Landes Rheinland-Pfalz, Dieter Ku- 
gelmann, sieht das ähnlich. Der Jurist 
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bemängelte bereits im Juni 2022, dass 
aus seiner Sicht keine Rechtsgrundla- 
ge für das Modellprojekt gegeben sei. 
Eine Aufnahme ohne eine gesetzliche 
Basis sei nach der Rechtsprechung des 


Kühling, Jürgen (Hrsq.) 

BStatG - Bundesstatistikgesetz - 
Kommentar 

C.H.Beck München 2023 

ISBN 978 3 406 79857 3, 346 S., 

€ 119,00 


(tw) Zu den bisher unterbelichteten 
Themen des Datenschutzes gehört das 
Statistikrecht. Zwar war die Aufregung 
groß und wird immer wieder neu belebt 
bei der Planung einer Volkszählung oder 
eines Mikrozensus, womit personenbe- 
zogene Daten für statistische Zwecke 
erhoben werden. Das Volkszählungs- 
urteil aus dem Jahr 1983 ist weiterhin 
die zentrale Grundlage für unser mo- 
dernes Verständnis von Datenschutz, 
auch wenn es in den letzten 40 Jahren 
viele Fortschreibungen und Weiterent- 
wicklungen gegeben hat. Fortschrei- 
bungen und Weiterentwicklungen wa- 
ren und sind aber beim Statistikrecht 
rar, obwohl auch die Statistikämter 
des Bundes und der Länder den techni- 
schen Entwicklungen folgten und diese 
für ihre Arbeit nutzen. Doch blieb das 
Statistikrecht in Deutschland über 40 
Jahre ein Nischenthema; die vorherige 
Kommentierung des Bundesstatistik- 
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Bundesverfassungsgerichts ein Ein- 
griff ins Persönlichkeitsrecht, so Ku- 
gelmann (Handy am Steuer: Bußgeld- 
bescheide gegen mit Monocam gefun- 
dene Autofahrer gültig, www.heise.de 


gesetzes (BStatG) ist 35 Jahre alt. Die 
Statistikrechtler blieben unter sich. 
Und das BStatG blieb in dieser Zeit in 
Grundstruktur und Inhalt weitgehend 
unverändert. 

Dies ist ein Anachronismus, wenn 
Statistik die zentrale Erkenntnisquelle 
für politische Planung sein soll. Überall 
fallen Daten an, die von statistischer 
Relevanz sind - sein könnten. Die Da- 
tenschutz-Grundverordnung (DSGVO) 
sieht für die Statistik - gemeinsam mit 
der Forschung und dem Archivwesen - 
eine Privilegierung vor. Die Europäische 
Union mit ihren eigenen Informations- 
bedarfen macht die nationale Statistik 
zum Datenzwischenlieferanten. Die 
Rechtsgrundlagen haben diese Ände- 
rungen nur eingeschränkt nachvollzo- 
gen - mal abgesehen davon, dass aus 
der Vollerhebung bei der Volkszählung 
eine Teilerhebung kombiniert mit einer 
Registerauswertung wurde. 

Es ist also an der Zeit, um zumindest 
den aktuellen Stand der Statistikver- 
waltung selbst zu erheben. Und dies ge- 
lingt dem Herausgeber Jürgen Kühling 
und seinen Autorinnen und Autoren. 
Vorab eine eher formale Kritik: Es ist 
wünschenswert zu erfahren, welchen 
beruflichen Hintergrund die Autoren- 
schaft eines juristischen Kommentars 
hat, da dies inhaltliche Positionen ver- 
ständlicher machen kann. Dieser Ser- 
vice wird hier unterlassen, so dass nur 
vermutet werden kann, dass das Inte- 
resse am Thema der Lehrstuhlangehö- 
rigkeit oder der Zugehörigkeit zu einem 
Statistikamt zuzuschreiben ist. 

Der Inhalt ist überzeugend: Die Para- 
grafen werden umfassend und mit der 
nötigen Tiefe besprochen - unter Heran- 
ziehung der verfügbaren Literatur und 
Rechtsprechung und unter Beschrei- 


02.03.2023, Kurzlink: https://heise. 
de/-7533729; Storr, Trierer Gericht: 
Bußgeldbescheide wegen „Handy- 
Blitzern“ bleiben gültig, www.swr.de 
03.03.2023). 


Buchbesprechungen 


bung der historischen Entwicklungen, 
verfassungs- und europarechtlichen 
Vorgaben und praktischen Umsetzungs- 
fragen unter Angabe der Quellen und 
mit Verweisen innerhalb des Werks. D.h. 
für die wenigen Menschen, die mit dem 
Statistikrecht täglich zu tun haben, wird 
dieser Kommentar umgehend zur zentra- 
len Informationsquelle, mit der viele we- 
sentliche Fragen zwischen zwei Buchde- 
ckeln beantwortet werden. Dies gilt nicht 
nur für das allgemeine Statistikrecht des 
Bundes, sondern auchin einem gewissen 
Maße für das Recht der Spezialerhebun- 
gen und das der Länder mit ihrem eige- 
nen Statistikrecht. Die DSGVO findet um- 
fassend Berücksichtigung. 

Erfreulich ist auch, dass das Werk sich 
nicht auf die Wiedergabe der bestehen- 
den Rechtssituation beschränkt, son- 
dern das Recht an den praktischen He- 
rausforderungen misst und dabei immer 
wieder Defizite feststellt, die letztlich 
nur durch die Politik behoben werden 
können. Bisher wird das Statistikrecht 
von einem strengen Gesetzesvorbehalt 
geprägt, was zwangsläufig zu einer be- 
schränkten Anpassungsfähigkeit bei 
Fragestellungen, Datenquellen und 
Auswertungsmöglichkeiten und damit 
zu einer Reduzierung des statistischen 
Erkenntnispotenzials führt. Die private 
Markt- und Meinungsforschung ist so 
zum für die Politik handlungsleitenden 
Instrument geworden, was als Funkti- 
on eigentlich der Statistik zukommen 
sollte. Eine erhöhte Flexibilisierung 
im Recht und eine engere Verbindung 
von Statistik und wissenschaftlicher 
Forschung täte allen Seiten gut. Die 
Angst, dadurch umfassend ausspioniert 
zu werden, die den Widerstand gegen 
die Volkszählungen in den 80er Jah- 
ren beförderte, ist Schnee von gestern. 
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Die Statistik hat ihren Grundrechtstest 
nach dem Volkszählungsurteil 1983 
immer wieder bestanden. Die weiterhin 
berechtigte Angst geht inzwischen von 
ganz anderen - privaten wie öffentli- 
chen - Playern aus. Zugleich sollte die 
Politik erkennen, dass ihr Gerede von 
der Digitalisierung es dringend nahe- 
legt das Statistikrecht auf den Stand 
von Technik und Wissenschaft zu he- 
ben. Auch insofern dient dieser Kom- 
mentar als valide Grundlage. 


Knüppel, Kai-Niklas 

Datenfinanzierte Apps als Gegen- 
stand des Datenschutzrechts 
Internetrecht und Digitale Gesellschaft 
Band 38 

Duncker & Humblot, Berlin 2022 

ISBN 978-3-428-18665-5, 417 5., 

€ 109,90 


(tw) Im Internet ist vieles nur schein- 
bar unentgeltlich - der Nutzer bezahlt 
mit seinen Daten. Dieser Befund, der 
inzwischen zumindest bei den etwas 
bewussteren Internet-Usern angekom- 
men ist, hat praktische und rechtliche 
Implikationen. Mit den Implikationen 
für den Datenschutz befasst sich die 
Doktorarbeit von Kai-Niklas Knüppel 
äußerst differenziert und ausführlich. 
Es geht um die Frage, ob, unter welchen 
Voraussetzungen und in welcher Form 
App-Anbieter ihr Angebot mit erlangten 
Daten und deren Nutzung refinanzieren 
dürfen. Dem Autor geht es nicht nur um 
die großen Plattformen-Anbieter; er hat 
vor allem App-Anbieter im Blick, die mit 
nicht kostenpflichtigen Apps und den 
dabei erlangten Daten ein valides Ge- 
schäftsmodell entwickeln wollen. Seine 
Grundannahme ist richtig: Solche Apps 
können mit dem Datenschutz in Ein- 
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klang gebracht werden. Seine implizite 
Diagnose ist, dass die aktuelle Praxis 
mit dem existierenden Datenschutz- 
recht - das im Prinzip einen gerechten 
Ausgleich zwischen Betreiber und Nut- 
zerinteressen ermöglicht - oft nicht 
im Einklang steht. Dieser Befund wird 
nicht an Beispielen ausdrücklich darge- 
legt, er ergibt sich für den Leser, wenn 
er die detailliert dargestellten Anforde- 
rungen mit der gelebten Realität ver- 
gleicht. Diese Anforderungen werden 
ausführlich und mit Tiefgang erörtert 
unter Hinzuziehung der relevanten ak- 
tuellen Literatur: Knüppel prüft die Da- 
tenschutzvorgaben für datenfinanzierte 
Apps nach (fast) allen Gesichtspunkten: 
Datenminimierung, Verantwortlichkeit, 
Transparenz, Zweckbindung. Den Fo- 
kus legt er - zu Recht - auf das Thema 
Rechtmäßigkeit: Während in den Früh- 
zeiten des Internets vorrangig mit der 
Einwilligung hantiert wurde, weist er 
daraufhin, dass die Verarbeitung daten- 
finanzierter Apps weitgehend vertrag- 
lich legitimiert werden muss und kann. 
Der Einwilligung - die mit allen Konse- 
quenzen widerrufbar sein muss - misst 
der Autor aber weiterhin eine wichtige 
Bedeutung bei. Und er widmet sich im 
Detail der dann zwangsläufigen Fra- 
ge, wie das Koppelungsverbot in Art 7 
Abs. 4 DSGVO anzuwenden ist. 

Als Anwendungsfälle nutzt er zwei 
fiktive Apps, eine zur Navigation und 
einen Messenger. An diesen Beispielen 
stellt er seine Bewertungen dar. Beim 
Durchdeklinieren der rechtlichen An- 
forderungen behandelt er vier Verar- 
beitungsphasen: die Sofortnutzung der 
Daten (IT), die Speicherung mit späterer 
Eigennutzung (II), die Weiternutzung 
im Konzern (IHa) und die Weiternut- 
zung durch sonstige Dritte (IIIb); der 
Autor spricht dabei verkürzend nur von 
der „Offenlegung“ gegenüber Dritten. Er 
blendet damit argumentativ die Details 
der Weiternutzung aus und fasst diese 
unter dem Buzzword „Big Data” zusam- 
men. Er kommt zu dem Ergebnis, dass 
die Hauptprobleme für den Datenschutz 
bei den Verarbeitungskategorien III be- 
stehen. Hier fallen dann aber leider die 
Antworten des Autors eher generisch 
aus nach dem Muster: je komplexer die 
Verarbeitung wird, umso höher liegt die 
Zulässigkeitsschwelle. Zwar zitiert er 
dann Schwellen, wie sie in Einzelfällen 


von Literatur und Rechtsprechung be- 
handelt wurden, und erliefert sämtliche 
Argumente auf einer abstrakten Ebene. 
Doch was dies dann konkret und prak- 
tisch bedeutet, überlässt er dem ge- 
neigten Leser. 

Dies liegt wohl am verfolgten Kon- 
zept des Buchs. Im Eingangskapitel 
beschreibt Knüppel anschaulich An- 
wendungsfälle. Doch dann stellt er den 
Leser vor eine Geduldsprobe - wie dies 
bei Doktorarbeiten oft der Fall ist: Über 
knapp 200 Seiten werden allgemein die 
Grundsätze des Datenschutzes referiert 
- was man inzwischen tausendfach 
nachlesen kann - mit nur kurzen Be- 
zugnahmen auf datenfinanzierte Apps. 
Erst in der zweiten Hälfte des Buchs 
wird es konkreter. Doch auch hier bleibt 
vieles generisch und abstrakt: Bzgl. 
der Verarbeitungskategorien III ver- 
harrt die Argumentation im Vagen und 
in der Rechtsdogmatik, obwohl sich 
genau hier Pandoras Büchse des Da- 
tenmissbrauchs öffnet. Das Thema der 
sensiblen bzw. sensitiven Daten (Art. 9 
DSGVO) wird praktisch überhaupt nicht 
behandelt - als hätte es Cambridge Ana- 
lytica nicht gegeben, als würden nicht 
die großen Plattformen versuchen den 
Markt der Gesundheits-Apps zu domi- 
nieren. Werbung ist nicht gleich Wer- 
bung, wenn es um die Eingriffstiefe für 
die Betroffenen geht. Die Eingriffstiefe 
ist für das Ergebnis der letztlich nötigen 
Interessenabwägung entscheidend. 

Abschließend werden rechtspoli- 
tische Überlegungen angestellt, die 
richtig zu dem Ergebnis kommen, dass 
die bestehenden materiell-rechtlichen 
Vorgaben ausreichend sind, dass aber 
in Sachen Transparenz einiges an Ver- 
besserungen möglich ist. Nicht ange- 
sprochen werden prozessuale Entwick- 
lungen und Möglichkeiten, die darauf 
hinauslaufen über kollektivrechtlichen 
Rechtsschutz des Verbraucherrechts 
oder über Zertifikate die Umsetzungs- 
defizite zu verringern. 

Diese Kritik soll die Verdienste des 
Buchs nicht schmälern: Knüppel be- 
schreibt die wesentlichen datenschutz- 
rechtlichen Erwägungen zu datenfi- 
nanzierten Apps. Die Darstellung ist 
auf dem neuesten Stand und wertet die 
relevanten rechtlichen Quellen aus, be- 
handelt die Bezüge zum neuen TTDSG, 
zum Kartellrecht und zur Richtlinie (EU) 
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2019/770 mit ihrer zivilrechtlichen Re- 
gulierung digitaler Inhalte und Dienste. 
Das Werk bleibt trotz seiner stark dog- 
matischen Ausrichtung gut verständ- 
lich und ist gut nachvollziehbar. Eine 
klare Gliederung mit aussagekräftigen 
Überschriften erleichtert die selektive 
Nutzung, was jedoch vom sehr knappen 
Stichwortverzeichnis nur eingeschränkt 
gesagt werden kann. Das Buch ist eine 
Fundgrube für jemanden, der sich mit 
datenfinanzierten Apps wissenschaft- 
lich befasst. Für die Übersetzung in die 
gelebte Wirklichkeit gibt es viele Anre- 
gungen. Antworten auf ganz konkrete 
Fragen müssen die Datenschützer, App- 
Entwickler, Verbraucherschützer und 
sonstige Anwender aber selbst finden. 


Hentsch | Falk Inne 


Christian-Henner Hentsch, Felix Falk 
(Hısg.) 

Games und Recht - Praxishandbuch 
Nomos Verlagsgesellschaft, Baden- 
Baden 2023 

ISBN 978-3-8487-8162-1, 560 S., 

€ 99,00 


(ha) Schon das Vorwort dieses 560 
Seiten starken Praxishandbuchs „Games 
und Recht” konstatiert: „Die Games- 
Branche ist seit Jahren die am dyna- 
mischsten wachsende Medienbran- 
che”. Dies schlägt sich in der Tat auch 
in der DANA nieder. Erstmalig erfolgte 
eine Buchbesprechung zum Thema 
eSport in der DANA 1/2021 (Dieter Frey, 
eSport und Recht). In Heft 3/2022 
wurde dann der Handkommentar 
zum Glücksspielrecht von Hamacher/ 
Krings/Otto besprochen. Die beiden 
Herausgeber des vorliegenden Praxis- 
handbuchs, Christian-Henner Hentsch 
und Felix Falk, konnten 36 Autoren und 
Autorinnen aus juristischer Praxis und 
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aus der Forschung gewinnen, um das 
Thema Spiele so umfassend wie eben 
möglich abzudecken. Alle Stadien eines 
Spiels werden in den 31 Kapiteln be- 
handelt: Games-Entwicklung und Publi- 
shing, Vertrieb und Marketing und auch 
die Betrachtung von Plattformen finden 
ihren Platz. Dabei ist der Stand mit April 
2022 vor allem auch durch Beachtung 
anstehender Requlierungen auf EU- und 
Bundesebene durchaus aktuell. 

Um das an dieser Stelle relevante 
Thema des Datenschutzes zu bewerten, 
muss nicht einmal das umfangreiche 
Stichwortverzeichnis herangezogen 
werden, denn es gibt ein eigenes Kapitel 
„Besonderheiten für Games im Daten- 
schutz”. Verantwortet wird es von Axel 
von Walter, Münchener Fachanwalt für 
Informationstechnologierecht. Seine 
praxisbezogene Sichtweise ermöglicht 
auch Ungeübten ein gutes Verständnis 
der Problematik. Beispielsweise wird 
vertiefend auf die Problematik der Aus- 
kunftsbeschränkung im Bereich der 
Cheat-Abwehr oder im Beschwerdesys- 
tem eingegangen. Unter anderem unter 
Bezugnahme auf die Veröffentlichung 
des ULD (Datenschutz in Online-Spielen) 
werden Best-Practice-Beispiele aufge- 
zeigt für User-Accounts, Social-Gaming, 
Beschwerdesysteme, Bestenlisten, 
Chats, Werbung im Spiel, Altersverifika- 
tion, Suchtprävention, Anti-Cheat und 
Virtual Reality. Erfreulich sind besonders 
die abschließenden, aktuellen Betrach- 
tungen zum TTDSG, zu internationalen 
Datentransfers sowie zum Einsatz von 
künstlicher Intelligenz. 

Alle Kapitel werden eingeleitet mit 
einer teils sehr ausführlichen Litera- 
turliste, die nicht nur bei der Betrach- 
tung von Games als Wirtschaftsfaktor 
und dem Games-Standort Deutschland, 
sondern auch in den weiteren Kapiteln 
zu den rechtlichen Fragen durchaus zur 
Vertiefung geeignet ist. Weitere Bezüge 
zum Datenschutz werden in den ein- 
zelnen Kapiteln zumindest hergestellt, 
wenn auch nicht immer ausführlich be- 
handelt. So stellt der Herausgeber C.H. 
Hentsch in einem „Ausblick“ lediglich 
fest: „Höchst fraglich ist auch, ob es 
aus der DSGVO ein Recht auf Portabili- 
tät gibt Spielstände und Charaktere bei 
einem Anbieterwechsel mitnehmen zu 
können”. Beim Unterkapitel „Vertrags- 
abschluss” weisen andererseits Martin 


Sester und Anna Kastner erfreulicher- 
weise daraufhin, dass bei der Registrie- 
rung die „vom Verbraucher geforderten 
Daten” dem Prinzip der Datenminimie- 
rung unterliegen. Alles in Allem liegt 
hier ein Praxishandbuch vor, das seinem 
Namen gerecht wird und das allen Betei- 
ligten an Games-Projekten empfohlen 
werden kann. 


mn nn ine 


Datenschutzbeauftragte 


Urmmmgerienne Nu Antiegen 


Stephan Hansen-Oest 
Datenschutzbeauftragte, Einsteiger- 
lektüre für Anfänger 

Deutscher Fachverlag GmbH, Fachme- 
dien Recht und Wirtschaft, Frankfurt/ 
Main 2020 

ISBN 978-3-8005-0013-0, 316 S., 

€ 39,90 


(ha) Es ist immer wieder ähnlich, 
wenn ein Buch besprochen werden soll: 
Wie in einer persönlichen Begegnung 
zählt der erste Eindruck! Beim vorlie- 
genden Softcover-Band aus dem Deut- 
schen Fachverlag ist das nicht nur die 
Haptik (gut, solide gemacht!), sondern 
auch die Seitengestaltung (warum ist 
auf jeder einzelnen Seite der Name des 
Autors abgedruckt?) und ein Blick in 
einzelne Kapitel (oh, ich werde geduzt, 
also: Buch erst einmal weglegen ...). 

Zwei Jahre lag das Buch unten im 
Stapel der Rezensionsexemplare bis die 
Pflicht siegte und bei solch einem ers- 
ten Eindruck bleibt dem Rezensenten 
nichts anderes, als nochmal von vorne 
zu beginnen. Da werde ich dann auch 
gleich im Vorwort aufgeklärt, dass der 
Rechtsanwalt Stephan Hansen-Oest in 
10 Jahren der „Vermittlung von ‚Da- 
tenschutzwissen” die Erfahrung ge- 
macht hat, ich könne die Inhalte auf 
diese Weise besser verinnerlichen. Nun 
ja, Stephan, dann duzen wir uns halt. 
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Allerdings taucht gleich die Frage auf, 
warum du dein Datenschutzwissen in 
Anführungszeichen setzt. Apropos An- 
führungszeichen: Diese sind in den 300 
Seiten dermaßen weit verbreitet, dass 
sich der Sinn vielleicht einer Verlags- 
Lektorin, nicht aber unbedingt jedem 
Leser erschließt. Üblicherweise ist das 
Anführungszeichen ein Mittel, um Zita- 
te zu kennzeichnen. Das erübrigt sich in 
dieser „Einsteigerlektüre für Anfänger“, 
denn Stephan hat sich nicht die Mühe 
gemacht irgendeine Quelle anzugeben 
- ein Literaturverzeichnis fehlt ebenso 
wie eine Stichwortliste. 

Dafür zeigt das Inhaltsverzeichnis, 
wie locker doch der Datenschutz nach 
der „Gemüse-Norm” der DSGVO gehand- 
habt werden kann: So trägt Art. 6 Abs. 1 
lit. d den Titel „Dead“ und Art. 6 Abs. 1 
lit. e wird zu „Echt jetzt“. Wie es dazu 
kommt, erklärt Stephan dann wirklich 
(Spoiler: „hat mit einer privaten Bege- 
benheit zu tun“), doch der Autor ver- 
stärkt am Ende des Kapitels zu Art. 6 
Abs. 1lit. eden Wunsch des Lesers nach 
einem Stichwortverzeichnis, wenn er 
dort auf ein Widerspruchsrecht nach 
Art. 21 Abs. 1 DSGVO hinweist, ohne 
im vertiefenden Kapitel 12 oder in ei- 
ner anderen Kapitel-Überschrift diesen 
Artikel überhaupt zu erwähnen. Das 
Widerspruchsrecht wird lediglich in Ka- 
pitel 21 unter den weiteren Betroffenen- 
rechten aufgezählt. 

Aus Sicht des Rezensenten scheint 
für das Arbeiten mit dieser Einsteiger- 
lektüre neben der DSGVO ein weiterer 
Gesetzes-Kommentar unumgänglich. 
Beispielsweise hilft die Definition des 
Begriffs Dateisystem in Art. 4 Nr. 6 DS- 
GVO nämlich, so Stephan, „nur bedingt 
weiter”. Statt jetzt also den angehen- 
den Datenschutzbeauftragten erklärend 
zu helfen, belässt es der Autor bei der 
Aussage: „Die Wahrheit ist derzeit, dass 
niemand exakt sagen kann, wann nun 
ein Dateisystem vorliegt oder nicht.” 
Durchaus brauchbar scheint das 40-sei- 
tige Kapitel über das Verarbeitungsver- 
zeichnis, das über 20 Verarbeitungen in 
einem kleinen Unternehmen auflistet 
und jeweils im selben Stil die verschie- 
denen Punkte listet. Bei der „Übermitt- 
lung von personenbezogenen Daten in 
ein Drittland” überwiegt dabei die Ant- 
wort „keine“. Dem Alter des Buchs ist si- 
cher zuzuschreiben, dass bei der Verar- 
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beitung „Internetseite“ die Einbindung 
von Google Webfonts durch die „Teil- 
nahme von Google am Privacy Shield” 
als angemessen bezeichnet wird. 

Das Buch endet schließlich nach ei- 
nem gut 50 Seiten umfassenden Kapitel 
„Wirbauen uns ein Datenschutzmanage- 
mentsystem” mit dem Schlusswort. Hier 
empfiehlt mir Stephan, wenn der „Stoff“ 
mich zu erschlagen scheine mich „ein- 
mal durchzuschütteln“, mich „darauf 
zu besinnen, dass es Sinn macht, Stück 
für Stück vorzugehen“ und mich nach 
der „Zwiebeltheorie” „Schale für Scha- 
le tiefer in die Details” einzuarbeiten. 
Das Durchschütteln habe ich mir erspart 
und bin auch nicht weiter in die Details 
eingestiegen. 


Schmädbauer / Sicaner 
Polizeiaufgabengesetz 
Polizeiorganisationsgesetz 
Kommentas 


6 Auflage 


Schmidbauer, Wilhelm/Steiner, Udo 
Polizeiaufgabengesetz - 
Polizeiorganisationsgesetz 
Kommentar 

C.H.Beck-Verlag München, 6. Aufl. 2023 
ISBN 978 3 406 79809 2, 1.291., 

€ 69,00 


(tw) Während sich das Polizeirecht 
bzw. generell das Sicherheitsrecht in 
den 90er Jahren im Zentrum der da- 
tenschutzrechtlichen Diskussion in 
Deutschland befand, spielt esinzwischen 
nurnoch eine Rolle unter vielen und fin- 
det in der politischen Diskussion nicht 
mehr die frühere hitzige und kontrover- 
se Resonanz. Ein Grund hierfür mögen 
die vielen Entscheidungen des Bundes- 
verfassungsgerichts (BVerfG) hierzu 
gewesen sein, jüngst ergänzt durch die 
Rechtsprechung des Europäischen Ge- 
richtshofs (EuGH). Beide Gerichte muss- 
ten immer wieder Gesetzgebungsakte im 
Sicherheitsrecht als europa- bzw. verfas- 
sungsrechtswidrig verwerfen, was zum 


einen zu einer Einhegung der Sicher- 
heitsbehörden, namentlich der Polizei, 
führte, zum anderen deren Akzeptanz 
in der Öffentlichkeit, selbst der außer- 
parlamentarischen Opposition, stärkte. 
Das Recht der Polizei wie deren Praxis ist 
rechtsstaatlich stark eingehegt, so dass 
Auswüchse, wie sie z.B. in den USA be- 
kannt werden, eher die Ausnahme als die 
strukturelle Regel sind. 

Dem dienen auch das ausdifferen- 
zierte Polizeirecht und im Hinblick auf 
informationelle Maßnahmen die dort zu 
findenden spezifischen Datenverarbei- 
tungsregeln. 

Bei aller verfassungsrechtlichen Ein- 
hegung gibt es in Deutschland erhebli- 
che Unterschiede im Polizeirecht, das 
zu den originären Landeszuständigkei- 
ten gehört. Und es hat Tradition, dass 
die Südländer einen eher konservativen 
eingriffsfreundlichen Kurs verfolgen, 
während im Norden eher eine liberale, 
eingriffskritische Praxis besteht. Inso- 
fern ist der Polizeirechtskommentar von 
Schmidbauer/Steiner aufschlussreich. 
Schmidbauer ist altgedienter Polizist, 
zuletzt bis Februar 2022 Landespolizei- 
präsident Bayerns. Steiner war Richter 
am BVerfG. Er kommentiert in dem über 
1.200 Seiten dicken Werk lediglich 45 
Seiten zur polizeirechtlichen Verant- 
wortlichkeit. Es ist beeindruckend, wie 
der Hauptautor die umfangreiche Mate- 
rie bearbeitet und dabei sowohl die Ebe- 
nen des Bundes-, des Verfassungs- wie 
des Europarechts mit behandelt. 

Schon in den Vorworten macht 
Schmidbauer seine Grundhaltung klar: Er 
sieht nicht nur die Bürger als Betroffene 
staatlicher Gewaltanwendung, sondern 
auch als Opfer von Straftätern und Ge- 
fährdern, denen die Polizei Freund und 
Helfer ist. Damit liegt er auf der Linie 
der bayerischen Politik, die Befugnisbe- 
schränkungen für die Polizei eher kri- 
tisch sieht und Befugniserweiterungen 
zwecks Herstellung von Sicherheit und 
Ordnung begrüßt und fordert. Dessen 
ungeachtet referiert Schmidbauer die 
Anforderungen des BVerfGs und trägt 
diese weitgehend mit, was ihn aber nicht 
daran hindert zugleich kritisch argu- 
mentierend Stellung zu beziehen und 
zu relativieren. So vertritt er z.B. mit der 
ganz herrschenden Meinung, dass auch 
aus bayerischem Verfassungsrecht kein 
subjektives Recht auf Sicherheit abge- 
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leitet werden kann, wenngleich er aber 
seine Sympathie für ein solches Instru- 
ment nicht verbirgt und beklagt, dass 
dem Verfassungsprinzip der Gewährleis- 
tungspflicht der inneren Sicherheit zu 
wenig Aufmerksamkeit geschenkt wird. 

Er hält die Doppeltürargumentation 
des BVerfGs für falsch, wonach es für 
eine Datenbeschaffung nicht nur eines 
Erhebungsrechts der Polizei, sondern 
auch eines Übermittlungsrechts der 
Datenquelle bedarf. Die Begrenzungen 
des Datenaustauschs zwischen Geheim- 
diensten und Polizei sieht er kritisch. 
Der Begriff der drohenden Gefahr als 
polizeiliche Eingriffsschwelle ist für ihn 
kein Grundrechtsproblem. 

Diesen Positionen mag man nicht zu- 
stimmen, doch muss man sich mitihnen 
auseinandersetzen, was hier gelingt, 
weil Schmidbauer nicht nur Schlagwor- 
te verbreitet, sondern praktisch argu- 
mentiert und Bereitschaft zum rechtli- 
chen Diskurs signalisiert. 

Der Diskurs kommt dann aber oft in 
dem gewaltigen Werk etwas zu kurz, be- 
schränkt sich der Autor doch vor allem 
auf die bayerische Debatte und berück- 
sichtigt eher wählerisch die Literatur 
aus dem Rest der Republik. Für die af- 
firmative Auslegung des Polizeiaufga- 
bengesetzes und des Polizeiordnungs- 
gesetzes des Freistaates ist das Buch in 
jedem Fall eine valide Quelle, nicht aber 
für eine verfassungsrechtliche oder gar 
verfassungspolitisch kritische Hinter- 
fragung. Insofern mag die inhaltliche 
Beschränkung für die Nutzung dieses 
„Standardwerks” für die Ausbildung in 
Bayern ausreichend sein. Sie hat aber 
zur Folge, dass für die wissenschaftliche 
Behandlung polizeirechtlicher Fragen 
weitere Quellen herangezogen werden 
müssen. Und bzgl. der Polizeipraxis gibt 
es Defizite, da die Schnittstellen der po- 
lizeilichen Gefahrenabwehr, sogar mit 
der Strafverfolgung, aber insbesonde- 
re mit den praxisrelevanten Fragen der 
Kooperation mit Nachrichtendiensten 
oder gemäß dem Ausländerrecht, nur 
am Rande erwähnt werden. Auch etwas 
selektiv sind das Stichwort- und das Ab- 
kürzungsverzeichnis, was bei manchen 
Fragestellungen ein längeres Suchen 
oder zumindest für weniger geschul- 
te Leser ergänzende Recherchen im 
Internet nötig macht. Angesichts des 
Umfangs des Werkes wundert es auch 
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nicht, dass der Autor weniger wichtige 
aktuelle Entwicklungen ab und zu nicht 
berücksichtigt. Dies ändert nichts an 
der Seriosität des Kommentars und an 
seiner Relevanz, zumal dieser die der- 
zeit wohl prominenteste konservative 
Stimme im Polizeirecht in Deutschland 
wiedergibt. 


Zippel, Andreas 

People Analytics - Künstliche Intelli- 
genz und digitale Hilfestellungen im 
Personalmanagement 

Verlag Dr. Kovac, Hamburg 2023 

ISBN 978-3-339-13428-8, 437 S., 

€ 129,80 


(tw) Der Einsatz sog. künstlicher In- 
telligenz (KT) im Beschäftigtenbereich 
spielt zunehmend in der Praxis eine 
Rolle. Es geht darum Merkmale von Be- 
werbenden und Beschäftigten im Perso- 
nalmanagement zur Effektivierung von 
Entscheidungsprozessen auszuwerten. 
Zumeist dienen Instrumente des „Peo- 
ple Analytics” noch der Vorbereitung 
von Personalmaßnahmen, aber insbe- 
sondere im Bewerbungs- bzw. Einstel- 
lungsprozess übernimmt der Computer 
zunehmend zumindest die Vorselektion 
von Stellensuchenden. In der Doktorar- 
beit von Zippel wird in umfassender Wei- 
se aus juristischer Sicht der Algorith- 
meneinsatz durch Arbeitgeber darge- 
stellt und bewertet, indem die Vielzahl 
von dazu veröffentlichten Aufsätzen 
und Kommentierungen sowie die Recht- 
sprechung zusammenführt werden. Als 
praktischer Ratgeber für Betriebsräte 
gibt es schon das „Praxishandbuch 
Künstliche Intelligenz” von Lothar 
Schröder und Petra Höfers (2022, Be- 
sprechung dazu in DANA 3/2022, 208). 

Das Buch beschreibt zunächst die 


technischen Grundlagen und behandelt 
am Rande auch, welche Rechte selbst 
bei nicht-personenbezogenen KI-Trai- 
ningsdaten eine Rolle spielen können 
(Patente, Gebrauchsmuster, Marken- 
angaben und Geschäftsgeheimnisse) 
und dass wettbewerbs-, zivil- und straf- 
rechtliche Fragen relevant sein können. 
Das zentrale Thema Zippels ist die Fra- 
ge der Zulässigkeit der KI-Nutzung von 
Beschäftigtendaten durch den Arbeit- 
geber. Im Rahmen der Ausübung von 
dessen Direktionsrecht kann demnach 
eine solche Nutzung für Leistungskon- 
trollen oder -verbesserungen, Mitarbei- 
terförderung und -weiterentwicklung 
und selbst zur Kündigung zulässig sein, 
nicht aber für reine KI-Trainingszwecke, 
da keine Notwendigkeit im Rahmen 
des Arbeitsvertrags besteht. Mangels 
Freiwilligkeit hält er - zu Recht - die 
Einwilligung für untauglich. Kritisch 
sieht er Betriebsvereinbarungen, wobei 
er zugesteht, dass darin zugesicherte 
Instrumente die Angemessenheit eines 
KI-Einsatzes herstellen können. Der 
KI-Einsatz unterliegt der Verhältnismä- 
Rigkeitskontrolle, wobei die Grundsätze 
der Transparenz, der Datenminimie- 
rung, der Speicherbegrenzung und der 
Datenrichtigkeit sowie der Verbote von 
Persönlichkeitsprofilen und von Dis- 
kriminierungen zu beachten sind. Das 
Verbot automatisierter Entscheidungen 
nach Art. 22 DSGVO wird vom Autor re- 
striktiv ausgelegt; er geht davon aus, 
dass KI im Beschäftigtenverhältnis re- 
gelmäßig noch mit einer qualifizierten 
Einbindung eines Menschen erfolgt. 

Die Arbeit von Zippel ist eine gediege- 
ne dogmatische Arbeit zum Thema, die 
das verfügbare Material gut aufbereitet. 
Dies erfolgt dann nochmals am Ende der 
Arbeit in einer übersichtlichen Zusam- 
menfassung. Es ist aber wegen der dis- 
kursiven Darstellung der praktischen Be- 
züge z.B. für Betriebsräte oder auch Per- 
sonalverantwortliche schwer geplante 
oder vorzufindende KI-Angebote gemäß 
den dogmatischen Vorgaben einzuord- 
nen und zu bewerten. Insofern ist die Ar- 
beit ein nützlicher Beitrag in der gerade 
heiß laufenden KI-Diskussion. Mit dem 
KI-Act der EU und der Diskussion über 
die praktische Anwendung von Chatbots, 
die auch im Arbeitsleben eine Rolle spie- 
len (werden), werden weitere Kapitel zu 
diesem Thema aufgeschlagen. 
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fur Arten . 8 


Der EU Data Act und der Zugang 
zu Sekundärmärkten am Beispiel 
des Handwerks 


fi 
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Podszun, Rupprecht 

Der EU Data Act und der Zugang zu 
Sekundärmärkten am Beispiel des 
Handwerks 

Nomos Verlagsgesellschaft 
Baden-Baden 2023 

ISBN 978-3-7560-0521-5 (Print), 
116 S., € 34,00 

ISBN 978-3-7489-3877-4 

(PDF), kostenlos 


(ak) Parallel zum Gesetzgebungs- 
vorgang zum neuen EU Data Act legt 
Rupprecht Podszun unter Mitarbeit von 
Philipp Offergeld eine Studie vor, die die 
Anforderungen an den zu requlierenden 
Datenmarkt aus der Sicht des Hand- 
werks untersucht. Die von den Wirt- 
schaftsministerien des Bundes und der 
Länder geförderte und von Verbänden 
des Handwerks unterstützte Arbeit be- 
schreibt die Anforderungen des Hand- 
werks an den Zugang zu Daten in der 
digital gesteuerten Wirtschaft. Es wird 
deutlich gemacht, dass mit der zuneh- 
menden Verwendung von smarten Ge- 
räten und deren Vernetzung der Zugriff 
auf die für die Wartung und Reparatur 
solcher Geräte notwendigen Daten nicht 
mehr nur durch den Handwerker vor 
Ort alleine möglich ist, sondern in zu- 
nehmendem Maße durch Übermittlung 
von Geräte-Daten z.B. an den Hersteller 
erfolgt. Unter Umständen sind Daten 
vor Ort gar nicht mehr ohne weiteres 
zugreifbar. Dadurch verändert sich das 
Verhältnis zwischen dem Handwerks- 
betrieb und dem Hersteller erheblich. 
Zum Beispiel kann der Hersteller auf- 
grund von Daten die Notwendigkeit 
vorbeugender Wartung erkennen und 
den Nutzer informieren oder die War- 
tung selbst veranlassen, um Ausfälle zu 
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vermeiden. Der Handwerksbetrieb istin 
einem solchen Szenario auf den Zugang 
zu den Daten des Herstellers angewie- 
sen, um einen wesentlichen Teil seiner 
wirtschaftlichen Tätigkeit ausführen zu 
können. Außer den Geräteherstellern 
können auch die Betreiber der zur Da- 
tenübertragung und Sammlung genutz- 
ten Netze und Plattformen privilegierte 
Positionen in Bezug auf die verfügbaren 
Daten erlangen. Dass die Kontrolle gro- 
ßer Datenmengen zu Machtpositionen 
führt, wird mit den Fragestellungen der 
Verarbeitung personenbezogener Da- 
ten vertraute Leser nicht überraschen. 
Auch durch die Kontrolle nicht perso- 
nenbezogener Daten können Wettbe- 
werbsverzerrungen und andere Proble- 
me auftreten, die letztendlich auch die 
Position der Verbraucher in der digitali- 
sierten Wirtschaft schwächen. 

Die Studie untersucht anhand ver- 
schiedener Szenarien, wie die im Vor- 
schlag der Europäischen Kommission 
vorgesehenen Regelungen des Data Act 
auf die Beziehungen zwischen den ver- 
schiedenen Akteuren im Datenmarkt 
wirken können, und macht Empfehlun- 
gen, wie deren Wirksamkeit aus Sicht 
des Handwerks verbessert werden 
könnte. Die klare Definition und Un- 
terscheidung der verschiedenen Grup- 
pen und ihrer jeweiligen Interessen 
und Bedürfnisse ist sehr hilfreich bei 
der Analyse. Insgesamt kommen die 
Autoren zu 28 Empfehlungen, die von 
Parlamentariern oder Regierungen in 
die Verhandlungen zum Data Act ein- 
gebracht werden könnten. 

Gegenstand der Studieistauch dasZu- 
sammenspiel des vorgesehenen Data Act 
mit anderen Rechtsgebieten, unter an- 
derem dem Datenschutz. Aus zwei Grün- 
den wird hier relativ wenig Interaktion 
erwartet. Zum einen ist ein Großteil der 
betrachteten Datenbestände überhaupt 
nichtpersonenbezogen (oder kann ohne 
Wertverlust anonymisiert werden), zum 
anderen stellt der Data Act klar, dass die 
Bestimmungen der DSGVO unberührt 
bleiben. Insgesamt findet die Studie, 
dass keine neuen Rechtsunsicherheiten 
bezüglich der Nutzung personenbezo- 
gener Daten durch die Nutzung durch 
Dritte nach dem Data Act entstehen. 
Die Autoren weisen darauf hin, dass 
bei Nutzung eines Geräts durch andere 
als den Erwerber die Erlangung der da- 


tenschutzrechtlichen Einwilligung aller 
Nutzer schwierig sein kann, erklären 
aber auch, dass im Gegensatz zur weit- 
verbreiteten Meinung die Einwilligung 
nicht die alleinige Rechtsgrundlage sein 
kann, sondern auch die anderen Erlaub- 
nistatbestände des Art. 6 Abs. 1 DSGVO 
eine Rolle spielen können. 

Die klare Definition der betrachteten 
Zielgruppe und die systematische Ana- 
lyse der Studie geben Anlass zu dem 
Wunsch, dass die Verhandler im Gesetz- 
gebungsverfahren die Empfehlungen 
analysieren und berücksichtigen, und 
dass der nationale Gesetzgeber die nach 
Verabschiedung der Verordnung noch 
notwendigen Regelungen, z.B. die na- 
tionalen Durchsetzungsmechanismen, 
entsprechend effektiv gestaltet. 


Kipker, Dennis Kenji/Reusch, Philipp/ 
Ritter, Steve 

Recht der Informationssicherheit 

C. H. Beck München 2023 

ISBN 978 3 406 78339 5, 1.032 5., 

€ 139,00 


(ak) Mit der steigenden Bedeutung 
der Informationssicherheit durch wei- 
teren Einsatz digitaler Systeme in Wirt- 
schaft und Verwaltung und der immer 
stärkeren Wahrnehmung von Angriffen 
auf diese Systeme nehmen auch die 
Bemühungen der Gesetzgeber zu den 
rechtlichen Rahmen für die notwendi- 
gen Maßdnahmen der Betreiber wichti- 
ger Informationssysteme und die öf- 
fentlichen Aufgaben in diesem Bereich 
klarer und umfassender zu gestalten. 
Damit wird es schwieriger für die Prakti- 
ker den Überblick über die gesetzlichen 
Vorgaben zu behalten. Dies gilt nicht 
zuletzt, da zusätzlich zu allgemein gül- 
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tigen Regeln auch besondere Regeln für 
bestimmte Wirtschaftssektoren gelten. 

Der von den Herausgebern Kipker, 
Reusch und Ritter in Zusammenarbeit 
mit 18 anderen Autorinnen und Auto- 
ren verfasste Kommentar zielt darauf 
ab die in Deutschland anwendbaren IT- 
Sicherheitsvorschriften umfassend dar- 
zustellen, auch unter Berücksichtigung 
einiger besonders betroffener Sektoren. 
Dabei werden sowohl die deutsche Ge- 
setzgebung (BSI-Gesetz, Kritis-V, Teile 
von Atomgesetz, EnWG, TKG und TTDSG) 
als auch die unmittelbar anwendbaren 
EU-Rechtsakte (CSA, Teile der DSGVO) 
umfassend kommentiert. 

Angesichts der Komplexität der Ge- 
setzgebung ist alleine schon die Aus- 
wahl der Fundstellen in einer konsoli- 
dierten Fassung hilfreich, besonders mit 
Blick auf die Vielzahl von Änderungen 
unterschiedlicher Gesetze, wie sie etwa 
durch das ITSiG 2.0 eingeführt wurden. 
Auch wenn die ausgewählten Texte alle 
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als relevant angesehen werden können, 
kann man sich eine klarere Motivati- 
on der Auswahl durch die Herausgeber 
wünschen. In einer späteren Auflage 
mag eine solche Einführung hinzuge- 
fügt werden. Die Klarstellung, warum 
welche Sektoren berücksichtigt werden, 
wäre zu begrüßen, auch um Nutzer des 
Kommentars auf eventuell wichtige wei- 
tere Rechtsquellen hinzuweisen, etwa 
die spezifischen Regelungen für den Fi- 
nanzsektor. 

Im Kontext des Datenschutzes ist 
besonders zu begrüßen, dass auch die 
für die Informationssicherheit wich- 
tigen Bestimmungen des TTDSG und 
der DSGVO berücksichtigt werden. Ein 
Hinweis auf die entsprechenden Re- 
gelungen im BDSG, die der Umsetzung 
der EU-Richtlinie 2016/680 über den 
Datenschutz im Polizei- und Sicher- 
heitsbereich dienen, wäre sinnvoll. 
Die Auswahl der kommentierten Para- 
graphen des TTDSG erscheint umfas- 
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send. Bezüglich der DSGVO überrascht 
zunächst die Beschränkung auf nur 
drei Artikel (5, 24 und 32), daja auch 
andere Teile der DSGVO für die Durch- 
führung der Sicherheitsmaßnahmen 
wichtige Bestimmungen enthalten. 
Allerdings zeigt die umfassende Kom- 
mentierung dieser Vorschriften, dass 
die Autoren mit der großen Bedeutung 
des Managements und der Durchfüh- 
rung von technischen und organisato- 
rischen Maßnahmen zur IT-Sicherheit 
für die ordnungsgemäße Verarbeitung 


personenbezogener Daten vertraut 
sind. Auch praktische Schritte werden 
dargestellt. 


Da die Verantwortung für die prakti- 
sche Implementierung von Datenschutz 
und IT-Sicherheit in vielen Organisatio- 
nen von enger Zusammenarbeit geprägt 
ist, ist der vorliegende Kommentar zum 
Recht der Informationssicherheit auch 
für Datenschützer eine sinnvolle Ergän- 
zung zur Datenschutzliteratur. 
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online zu bestellen unter: www.datenschutzverein.de/dana 
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ICH HABE GESTERN GELESEN, DASS SICH 
DIE SPANISCHE REGIERUNG BEI DEN BERA- 
TUNGEN ZUR GEPLANTEN CHATKONTROLLE 

FÜR EIN VERBOT DER ENDE-ZU-ENDE- 
VERSCHLÜSSELUNG AUSGESPROCHEN HAT. 


AHA - UND WAS KOMMT ALS NÄCHSTES? 
DAS VERBOT VON TÜRSCHLÖSSERN, DAMIT 
DIE POLIZEI OHNE HINDERNISSE IN JEDER 
WOHNUNG NACH BELASTENDEM MATERIAL 

SUCHEN KANN? VERBOT VON BRIEFUM- 
SCHLÄGEN UND PAKETVERPACKUNGEN? 


JEDENFALLS IST ES FÜR HACKER DURCH KLARTEXT-CHATS 
DEUTLICH LEICHTER INHALTE ZU MANIPULIEREN UND 
MISSLIEBIGE PERSONEN ZU KOMPROMLITTIEREN. POLITIKER 
SCHEINEN DABEI AUSZUBLENDEN, DASS SIE DADURCH 
SELBST BETROFFEN SEIN KÖNNEN. 
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